En el trabajo enfocado a la gestión del SGSI dentro de la empresa, abordamos otras consideraciones previas del proceso, como puede ser contar con el respaldo y patrocinio de la alta dirección, la formación de las estructuras para la toma de decisiones, acciones como el análisis de brechas, impacto al negocio, cuestiones esenciales como contar con los recursos para las iniciativas de seguridad.Durante este artículo revisaremos las consideraciones necesarias para definir el alcance del SGSI, siendo una de las decisiones más importantes para conseguir la efectividad e idoneidad del sistema de gestión.
El alcance describe la extensión y los límites del SGSI, por lo que puede encontrarse definido en términos de los activos de información, la ubicación física, las unidades organizaciones, las actividades o procesos de mayor importancia para la empresa, es decir, se trata de la selección de los elementos críticos que se deben proteger.
Es necesario definir el alcance siendo un requisito descrito en la cláusula 4.3 ISO/IEC 27001 2013, por lo que las características de dicho requisito con la intención de dejar claro todo lo que resulta de interés para el sistema de gestión, se relaciona con las actividades esenciales, es decir, las que permiten cumplir con la misión y los objetivos generales de la empresa.
Es la primera decisión importante que se debe considerar, ya que determina de forma exacta lo que se encuentra protegido por la empresa y la magnitud de los recursos necesarios para la implantación y la operación del sistema de gestión. Cuando se define, el alcance debe encontrase disponible como información documentada. Es necesario que se revisen los diferentes requisitos que establece la norma ISO 27001.
El estándar establece que la empresa tiene que determinar los límites y aplicabilidad del SGSI para definir su alcance, dicho proceso, se tiene que considerar según factores externos e internos referidos a la empresa y su contexto. Es decir, se deben conocer los elementos relevantes para los propósitos de la empresa que afectan a la capacidad de conseguir los resultados esperados con relación al SGSI.
Los elementos internos, son cuestiones que se consideran dentro de la empresa y que se encuentran bajo el control de la misma, como puede ser la misión, visión y objetivos, el gobierno y estructura organizacional, roles y responsabilidades según la política, los objetivos y las estrategias, siendo el proceso o niveles de madurez de las partes interesadas entre otros.
Por otro lado, los factores externos no son controlables por las actividades que se realizan dentro de la empresa, y entre ellos, se encuentran el mercado laboral y la competencia, siendo prácticas de la industria, leyes y regulaciones, ambiente político y financiero, además de todas las condiciones culturales y sociales, partes interesadas externas, entre otros factores. La identificación de los elementos permite conocer todas las características de la organización y el ambiente en el que se consiguen los objetivos.
Los requisitos de los estándares establecen que el alcance debe ser considerado por las necesidades y las expectativas de las partes interesadas. Las partes interesas son todos los individuos, grupos o empresas que generen un beneficio o perjuicio que se encuentra relacionado con los intereses y las actividades de la empresa.
Las partes interesadas pueden ser internas o externas, además deben considerarse como elementos importantes para la planificación del SGSI, ya que en ocasiones pueden incluir requisitos legales o reglamentarios, además de las obligaciones.
- Proveedores
- Clientes
- Usuarios
- Acreedores
- Gobiernos
- Sociedad
- Otros
Por esto, la empresa tiene que definir todas las partes interesadas que son relevantes para el sistema de gestión y los requisitos de las partes interesadas siendo relevantes en la seguridad de la información, así como las expectativas de seguridad.
Interfaces de las actividades de la empresa
Como parte de la definición del alcance se describe en los diferentes requisitos del estándar, se tienen que identificar todos los interfaces y las dependencias entre actividades desempeñadas por la empresa, y aquellas que se lleva a cabo por las empresas.
Una manera de abordar la definición del alcance es mediante el enfoque de procesos, por lo que la empresa necesita identificar los procesos que soportan las actividades críticas, además de los puntos por lo que interactúan entradas y salidas de los procesos.
Para definir las interfaces, se puede tratar de identificar los diferentes puntos finales que se encuentran bajo control. Son límites lógicos, como la red local o los límites físicos, como pueden ser inmuebles u oficinas. Otro enfoque para la identificación de las interfaces mediante la interacción de las personas, los procesos y la tecnología.
Alcance del SGSI: entre los límites y la aplicabilidad
Por lo que, la definición de alcance permite conocer la aplicabilidad y los límites para la protección de la informacióny otros activos, ahí la importancia de su declaración en la implementación de las medidas de seguridad. Esto no supone que se realicen otras actividades o iniciativas de seguridad que se deben descartar por que se encuentra fuera del alcance.
Por el contrario, las actividades pueden contribuir para que el alcance puede estar conforme a la criticidad de los procesos, unidades físicas o activos de información que tienen que estar protegidos, pero con un mayor alcance. Es necesario utilizar muchos más recursos y más esfuerzos para cumplir con los diferentes requisitos de seguridad en la empresa.
Tomado de: https://www.pmg-ssi.com
No hay comentarios.:
Publicar un comentario