Definir el alcance de aplicación de la norma ISO 27001 es una tarea que tenemos que hacer antes de implantar la norma

En este artículo les resumimos lo que dice la norma al respecto

Además en la guía de implementación de la norma vemos como acometer esta tarea de la definición del alcance del SGSI

¿PARA QUE DEFINIR EL ALCANCE del SGSI?

El alcance de un SGSI se define para:

Identificar que información vamos a proteger

Entender este punto es fundamental pues debemos tener en cuenta la responsabilidad sobre la protección de la información sin importar dónde, cómo y quién acceda a esta información

CASO PRACTICO:
SGSI Identificar la información a proteger

Cuando nos ponemos a analizar la información sobre la que tenemos la responsabilidad de proteger, deberemos pensar en que no importa si esta información se almacena en las oficinas de su empresa o en algún lugar de la nube; no importa si se accede a esta información desde su red local o mediante acceso remoto.

Por ejemplo, si se utilizan portátiles que sus empleados necesitan para el desempeño de su trabajo, esto no significa que estos portátiles estén fuera del alcance del SGSI. Por tanto, deben incluirse en su alcance si a través de estos  portátiles los empleados pueden acceder a su red local y  a informaciones sensibles o a los servicios que se encuentran en su red.

El alcance del SGSI de cara a la CERTIFICACION

En el caso de que vayamos elegidos certificar nuestro sistema SGSI la definición del alcance tiene su importancia.

El auditor en la etapa de certificación verificará si todos los elementos del SGSI cumplen sus requisitos  y están correctamente implantados pero solo dentro de su alcance; no comprobará los departamentos o sistemas que no están incluidos en el alcance definido para el SGSI.

Los requisitos de la norma ISO 27001 en cuanto al alcance.

Veamos que dice la Norma ISO 27001 como requisito para definir el alcance:

  • Tenga en cuenta los problemas internos y externos definidos en la cláusula 4.1 Para ver cómo se desarrolla este punto consulte nuestra guía paso a paso para implantar la norma ISO 27001
  • Tenga en cuenta todos los requisitos definidos en la cláusula 4.2: Obtenga valiosa información para entender cómo identificar las partes interesadas en la guía de implantación de la norma ISO 27001
    Análisis del contexto de la Organización

Algunos consejos prácticos

A los auditores de certificación suele resultarles interesante encontrar una descripción detallada de las instalaciones y ubicaciones que forman parte del alcance del SGSI. Si es posible y aunque no sea requisito escrito de la norma, incluya en el documento de la definición del alcance algunas cosas como:

  • Una descripción de la ubicación de los activos que incluya planos de planta para describir el perímetro
  • Descripción de las unidades organizativas, por ejemplo mediante organigramas

Por ejemplo, si se utilizan portátiles que sus empleados necesitan para el desempeño de su trabajo, esto no significa que estos portátiles estén fuera del alcance del SGSI. Por tanto, deben incluirse en su alcance si a través de estos  portátiles los empleados pueden acceder a su red local y  a informaciones sensibles o a los servicios que se encuentran en su red.

Tampoco es absolutamente necesario tener un documento exclusivo para la definición del alcance de la organización. Puede combinar o incluir este requisito dentro del documento de definición de la política de seguridad de la información o bien tener un documento separado donde se haga referencias a otros documentos donde se definan las partes interesadas y sus requisitos, el contexto de la organización, etc.

Definir los procesos y departamentos incluidos en el alcance del SGSI

Nos referimos a los procesos del negocio que deben considerarse dentro del alcance del SGSI y no a los procesos de la seguridad de la información.

Si ya tiene implantado un sistema de calidad según la norma ISO 9001 es muy probable que ya tenga definido un mapa de los principales procesos de su organización

Los departamentos y sus respectivas dependencias se pueden delinear fácilmente mediante las descripciones gráficas que seguramente ya tenemos para identificar las distintas funciones y actividades de nuestra organización

Para identificar el alcance del SGSI se pueden dibujar los procesos que se incluyen en el alcance de su SGSI, y luego, si fuera necesario poner señalar y dibujar los procesos que se consideran fuera de su alcance.

RECUERDE

Los procesos a incluir no son solo los procesos de seguridad o de TI si no que debemos considerar todos los procesos de negocio definidos dentro del alcance del SGSI.

ISO 27001 Mapa de process incluido en el alcance del SGSI

ISO 27001 Ejemplo de mapa de procesos incluido en el alcance del SGSI

Una vez determinados los procesos y los distintos departamentos y sus dependencias o instalaciones deberemos identificar las distintas relaciones e interfaces entre los distintos procesos y departamentos o instalaciones.

Para identificar estas interfaces o elementos de interrelación entre procesos debemos fijarnos en las entradas y salidas de los procesos.

Algunos consejos prácticos

A la hora de identificar los puntos de entrada y salida a los procesos relacionados con la información nos puede interesar tener en cuenta:

  • 1.- Identificar los puntos finales sujetos a control: Por ejemplo en una red local los “routers” suelen ser el punto final de control de una red a partir del cual ya no ejercemos control. Esto puede significar un punto de entrada o salida según seamos un proveedor de servicios TI o un receptor de dichos servicios
  • 2.- Definir las características de alto nivel de las interfaces: determine las funciones de alto nivel relacionadas con la información y que se refieren a «Las Personas», «Los Procesos» y «Las Tecnologías»:
  • LAS PERSONAS:Identifique los elementos de entrada y salida o para
    • Los usuarios del Software
    • Los mantenedores del software
    • Los desarrolladores del software
    • Los procesos de selección de personal (RRHH)
    • Los procesos de contratación
    • La definición de responsabilidades del personal
    • Etc.
  • LOS PROCESOS:Identifique los elementos de entrada y salida o para los procesos:
    • Procesos de soporte
    • resolución de incidencias
    • Mantenimiento SW
    • Procesos de desarrollo
    • Etc.
  • LAS TECNOLOGIAS: Identifique los requisitos de entrada y salida o para las distintas tecnologías, por ejemplo:
    • Las aplicaciones software de escritorio
    • Las aplicaciones software para desarrollo
    • Los sistemas operativos
    • Las aplicaciones de comunicaciones
      • Email
      • FTP
      • Etc.

Algunas Recomendaciones

Limitar el alcance del SGSI no siempre es aconsejable:

Cuando dejamos fuera del alcance del SGSI alguna parte de la empresa esto no significa siempre que el sistema se más simple. EN el caso de que en una pequeña o mediana empresa queramos dejar fuera del alcance algún departamento, esto puede significar un mayor esfuerzo y a veces ni siquiera es realmente factible. Un departamento excluido del alcance significa

  • La necesidad de establecer un control en los flujos de información entre departamentos
  • La necesidad de separar las infraestructuras tanto físicas como de recursos y accesos a la información
  • El control de los requisitos de seguridad de la información en cuanto a que el departamento en cuestión pasa a ser tratado como una entidad externa a la empresa por lo que sería equivalente a un proveedor externo

Por ejemplo, si hemos decidido que nuestro objetivo es certificarnos, hemos de tener en cuenta que los auditores pondrán más pegas que facilidades ante esta decisión

La conclusión es que si nuestra empresa no es una gran empresa donde resulte conveniente excluir ciertos departamentos, la limitación del alcance nunca suele ser una buena alternativa.

Selección de controles y alcance del SGSI:

Finalmente hemos de señalar que otra de las tareas es la selección de controles aplicables. La aplicabilidad o exclusión de determinados controles no está sujeto a la misma lógica que la exclusión del alcance del SGSI según veíamos en el punto anterior

La selección de controles aplicables depende únicamente de la evaluación de riesgos o requisitos aplicables que requieran la aplicación de determinados controles. En otras palabras, si existe el riesgo y los requisitos, entonces no podremos excluir los controles o declararlos como no aplicables.

¿Beneficios de definir el alcance del SGSI?

El alcance del SGSI puede reducir su costo inicial en recursos, o potencialmente, aumentarlo.

Podemos pensar que un SGSI que es capaz de desplegarse en una sola ubicación, puede ciertamente implementarse en múltiples partes, pero debido a que las redes de datos pueden ser compartidas por toda la organización así como otros recursos he instalaciones, conviene definir el alcance mediante un estudio de la situación y asesorándose con expertos.

La viabilidad y la sensibilidad de limitar el alcance del SGSI dependerá en gran medida de las características específicas de la organización.

El punto clave es que, con un alcance limitado, los activos de la organización fuera del alcance deben tratarse de la misma manera que los proveedores externos a la empresa.

Nuestra sugerencia:

La organización debe determinar primero lo que necesita para que tenga los mayores beneficios ante una implantación de un SGSI según ISO27001 y luego trabajar desde allí para identificar a las personas, procesos, sistemas y datos que deben ser incluidos en el alcance del SGSI.