lunes, 20 de agosto de 2018

¿CÓMO PODEMOS DEFINIR EL ALCANCE DEL SGSI?

En el trabajo enfocado a la gestión del SGSI dentro de la empresa, abordamos otras consideraciones previas del proceso, como puede ser contar con el respaldo y patrocinio de la alta dirección, la formación de las estructuras para la toma de decisiones, acciones como el análisis de brechas, impacto al negocio, cuestiones esenciales como contar con los recursos para las iniciativas de seguridad.
Durante este artículo revisaremos las consideraciones necesarias para definir el alcance del SGSI, siendo una de las decisiones más importantes para conseguir la efectividad e idoneidad del sistema de gestión.


Alcance del SGSI

El alcance describe la extensión y los límites del SGSI, por lo que puede encontrarse definido en términos de los activos de información, la ubicación física, las unidades organizaciones, las actividades o procesos de mayor importancia para la empresa, es decir, se trata de la selección de los elementos críticos que se deben proteger.

Es necesario definir el alcance siendo un requisito descrito en la cláusula 4.3 ISO/IEC 27001 2013, por lo que las características de dicho requisito con la intención de dejar claro todo lo que resulta de interés para el sistema de gestión, se relaciona con las actividades esenciales, es decir, las que permiten cumplir con la misión y los objetivos generales de la empresa.

Es la primera decisión importante que se debe considerar, ya que determina de forma exacta lo que se encuentra protegido por la empresa y la magnitud de los recursos necesarios para la implantación y la operación del sistema de gestión. Cuando se define, el alcance debe encontrase disponible como información documentada. Es necesario que se revisen los diferentes requisitos que establece la norma ISO 27001.

La organización y su contexto

El estándar establece que la empresa tiene que determinar los límites y aplicabilidad del SGSI para definir su alcance, dicho proceso, se tiene que considerar según factores externos e internos referidos a la empresa y su contexto. Es decir, se deben conocer los elementos relevantes para los propósitos de la empresa que afectan a la capacidad de conseguir los resultados esperados con relación al SGSI.

Los elementos internos, son cuestiones que se consideran dentro de la empresa y que se encuentran bajo el control de la misma, como puede ser la misión, visión y objetivos, el gobierno y estructura organizacional, roles y responsabilidades según la política, los objetivos y las estrategias, siendo el proceso o niveles de madurez de las partes interesadas entre otros.

Por otro lado, los factores externos no son controlables por las actividades que se realizan dentro de la empresa, y entre ellos, se encuentran el mercado laboral y la competencia, siendo prácticas de la industria, leyes y regulaciones, ambiente político y financiero, además de todas las condiciones culturales y sociales, partes interesadas externas, entre otros factores. La identificación de los elementos permite conocer todas las características de la organización y el ambiente en el que se consiguen los objetivos.

Necesidades y expectativas de las partes interesadas

Los requisitos de los estándares establecen que el alcance debe ser considerado por las necesidades y las expectativas de las partes interesadas. Las partes interesas son todos los individuos, grupos o empresas que generen un beneficio o perjuicio que se encuentra relacionado con los intereses y las actividades de la empresa.

Las partes interesadas pueden ser internas o externas, además deben considerarse como elementos importantes para la planificación del SGSI, ya que en ocasiones pueden incluir requisitos legales o reglamentarios, además de las obligaciones.

Entre las partes interesadas con el sistema de gestión puede incluirse diferentes roles dentro de la empresa, entre ellos, directores, empleados, dueños de procesos o jefes de áreas. Las partes interesadas varían de una empresa a otra, y se encuentra directamente relacionadas con las actividades primordiales. Algunas partes interesadas externas pueden ser:
  • Proveedores
  • Clientes
  • Usuarios
  • Acreedores
  • Gobiernos
  • Sociedad
  • Otros
En un sentido amplio, una parte interesada debe ser la entidad o persona que se beneficia de la efectiva seguridad de la información según el SGSI, y en sentido opuesto, quien puede verse afectado si se presenta algún accidente de seguridad de la información, es decir, la lista no se encuentra limitada.

Por esto, la empresa tiene que definir todas las partes interesadas que son relevantes para el sistema de gestión y los requisitos de las partes interesadas siendo relevantes en la seguridad de la información, así como las expectativas de seguridad.

Interfaces de las actividades de la empresa

Como parte de la definición del alcance se describe en los diferentes requisitos del estándar, se tienen que identificar todos los interfaces y las dependencias entre actividades desempeñadas por la empresa, y aquellas que se lleva a cabo por las empresas.

Una manera de abordar la definición del alcance es mediante el enfoque de procesos, por lo que la empresa necesita identificar los procesos que soportan las actividades críticas, además de los puntos por lo que interactúan entradas y salidas de los procesos.

Para definir las interfaces, se puede tratar de identificar los diferentes puntos finales que se encuentran bajo control. Son límites lógicos, como la red local o los límites físicos, como pueden ser inmuebles u oficinas. Otro enfoque para la identificación de las interfaces mediante la interacción de las personas, los procesos y la tecnología.

Alcance del SGSI: entre los límites y la aplicabilidad

Por lo que, la definición de alcance permite conocer la aplicabilidad y los límites para la protección de la informacióny otros activos, ahí la importancia de su declaración en la implementación de las medidas de seguridad. Esto no supone que se realicen otras actividades o iniciativas de seguridad que se deben descartar por que se encuentra fuera del alcance.

Por el contrario, las actividades pueden contribuir para que el alcance puede estar conforme a la criticidad de los procesos, unidades físicas o activos de información que tienen que estar protegidos, pero con un mayor alcance. Es necesario utilizar muchos más recursos y más esfuerzos para cumplir con los diferentes requisitos de seguridad en la empresa.

Tomado de: https://www.pmg-ssi.com

MARCO INTERNACIONAL PARA LA PRÁCTICA PROFESIONAL DE LA AUDITORÍA INTERNA


La auditoría interna es una labor que se efectúa en los más diversos escenarios, y en organizaciones que desarrollan actividades bien diferentes. 

El tamaño, la estructura y el contexto de estas organizaciones auditadas resultan también muy disimiles entre sí, razón por la cual ha sido necesario construir un marco internacional para la práctica profesional de la auditoría interna.


Este marco internacional para la práctica profesional de la auditoría interna reúne una serie de normas que aseguran el cumplimiento de normas internacionales que regulan el ejercicio de la profesión del auditor interno. Pero, ¿Cuál es el propósito de estas normas?, ¿Cómo se estructuran?, ¿Qué principios las rigen?… ese es el tema de nuestra entrada de hoy. Veamos:


Marco internacional para la práctica profesional de la auditoría interna – El propósito de las normas

Las normas, en su conjunto constituyen requisitos de obligatorio cumplimiento, basadas en principios que a su vez conforman el marco internacional para la práctica profesional de la auditoría interna. Estas normas cumplen básicamente cuatro propósitos esenciales:

1-) Orientar a los auditores internos para que sigan los principios y prácticas uniformes, de obligatorio cumplimiento en el ejercicio de la labor profesional.

2-) Ofrecer un marco internacional que permita a los auditores ofrecer un amplio portafolio de servicios de calidad y excelencia.

3-) Definir criterios que permitan evaluar los resultados de una auditoría interna.

4-) Alentar el concepto de mejora en los procesos y las operaciones auditadas dentro de la organización.

¿Cómo se estructuran las normas dentro del marco internacional para la práctica profesional de la auditoría interna?

El marco agrupa las normas en dos categorías de mayor importancia y una accesoria. Veamos:

Normas sobre atributos:

En este grupo se reúnen las normas que hablan de las características de las organizaciones, y sobre los auditores internos y las organizaciones o personas que prestan este servicio.

Normas sobre desempeño:

Permiten evaluar el desempeño de los servicios de auditoría, describiendo la naturaleza de tales servicios, y ofreciendo los criterios de calidad necesarios para realizar las respectivas evaluaciones.

Normas de implantación:

En ellas encontramos los requisitos que se aplican a los servicios de consultoría y desempeño, ampliando así las normas de atributos y desempeño.



Los tres grupos de normas, se aplican a los auditores en particular y a la actividad de auditoría interna en general. Todos los profesionales que ejercen labores de auditoría interna se obligan al cumplir con estas normas y, en caso de no poder cumplir alguna, deben consignar en sus informes las razones por las cuales no fue posible hacerlo.

Marco internacional para la práctica profesional de la auditoría interna – Los principios que rigen las normas

En cuanto a los principios, ofrecemos a continuación un esquema básico sobre ellos. El texto completo, incluyendo la interpretación y el glosario, puedes ser consultado aquí, gracias a una contribución de The Institute of Internal Auditors North America.



Normas sobre atributos
1000 – Propósito, Autoridad y Responsabilidad
1010 – Reconocimiento de los elementos obligatorios en el estatuto de auditoría interna.
1100 – Independencia y objetividad.
1110 – Independencia dentro de la organización.
1111- Interacción directa con el Consejo.
1112 – El papel del director ejecutivo de auditoría además de auditoría interna.
1120 – Objetividad individual.
1130 – Impedimentos a la independencia u objetividad.
1200 – Aptitud y cuidado profesional.
1210 – Aptitud.
1220 – Cuidado profesional.
1230 – Desarrollo profesional continuo.
1300 – Programa de aseguramiento y mejora de la calidad.
1310 – Requisitos del programa de aseguramiento y mejora de la calidad.
1311 – Evaluaciones internas.
1312 – Evaluaciones externas.
1320 – Informe sobre el programa de aseguramiento y mejora de la calidad.
1321 – Utilización de “Cumple con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna”.
1322 – Declaración de Incumplimiento.

Normas sobre desempeño
2200 – Administración de la actividad de auditoría interna.
2010 – Planificación.
2020 – Comunicación y aprobación.
2030 – Administración de recursos.
2040 – Políticas y procedimientos.
2050 – Coordinación y confianza.
2060 – Informe a la Alta Dirección y al Consejo.
2070 – Proveedor de servicios externos y responsabilidad de la organización sobre auditoría interna.
2100 – Naturaleza del trabajo.
2110 – Gobierno.
2120 – Evaluación de la eficacia y contribución a la mejora de los procesos de gestión de riesgos.
2130 – Control
2200 – Planificación del trabajo.
2201 – Consideraciones sobre planificación.
2210 – Objetivos del trabajo.
2220 – Alcance del trabajo.
2230 – Asignación de recursos para el trabajo.
2240 – Programa de trabajo.
2300 – Desempeño del trabajo.
2310 – Identificación de la información.
2320 – Análisis y evaluación.
2330 – Documentación de la información.
2340 – Supervisión del trabajo.
2400 – Comunicación de resultados.
2410 – Criterios para la comunicación.
2420 – Calidad de la comunicación.
2421 – Errores y omisiones.
2430 – Uso de “Realizado de conformidad con las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna”
2431 – Declaración de incumplimiento de las Normas
2440 – Difusión de resultados.
2450 – Opiniones globales.
2500 – Seguimiento del progreso.
2600 – Comunicación de la aceptación de los riesgos.

Tomado de: https://www.escuelaeuropeaexcelencia.com