alcance del Sistema de Seguridad de la Información

Cómo definir el alcance del Sistema de Seguridad de la Información – SGSI

Inicio / Cómo definir el alcance del Sistema de Seguridad de la Información – SGSI
5/5 - (1 voto)

Alcance del Sistema de Seguridad de la Información

La determinación del alcance del Sistema de Seguridad de la Información, ha sido una de las principales novedades incluidas en la revisión de norma ISO 27001.

Concretamente al definir el alcance del Sistema de Seguridad de la Información, se busca como principal objetivo clarificar cual es la información a la que se quiere dar protección, con independencia de dónde se halle, cómo se almacene o quién pueda acceder a la misma.

Veamos a continuación qué novedades se introducen en relación al alcance del Sistema de Seguridad de la Información tras la actualización última de 2013 de la norma ISO 27001.

Requisitos de la norma ISO 27001, para determinar el alcance del Sistema de Seguridad de la Información

A la hora de definir el alcance del Sistema de Seguridad de la Información bajo los fundamentos de ISO 27001 debemos tener en cuenta:

  • Análisis de los aspectos tanto internos como externos, tal como se recoge en la cláusula 4.1. de cara a lograr un entendimiento de la organización.
  • Identificar las partes interesadas, de acuerdo a la cláusula 4.2.
  • Analizar las interrelaciones entre lo que ocurre dentro del Sistema de Gestión de Seguridad de la Información y el mundo externo, es lo que denominamos análisis de las interfaces y dependencias.

Además de lo anterior, es también recomendable incluir en el documento que recoge el alcance del Sistema de Seguridad de la Información, información respecto a la ubicación y las unidades organizativas que integran la organización,

Vamos a centrar la atención  en el tercer de los puntos a considerar al determinar el alcance del Sistema de Seguridad de la Información, es decir cómo tratar las interfaces y dependencias entre las actividades realizadas por la organización y el mundo del exterior.

Haz click aquí y descárgate la guía gratuita: Los Modelos de Excelencia en Latinoamérica

Interfaces y dependencias

Para definir las dependencias dentro del propio SGSI, se recomienda comenzar por una descripción gráfica en la que se vea claramente los procesos que estarían incluidos dentro del alcance del SGSI y aquellos otros que quedan fuera de dicho alcance.

Una vez conocidas las dependencias, lo siguiente es identificar las interfaces, las cuales son esenciales para poder conocer los límites del Sistema de Gestión de Seguridad de la Información y poder tener una mejor comprensión de las diferentes entradas y salidas que pasan por tales interfaces.

Para identificar las interfaces, se debe:

  • Identificar todos aquellos aspectos bajo su control.
  • Definir las características de alto nivel de las mencionadas interfaces en base a los tres factores como son, las personas, los procesos y la tecnología.

También le puede interesar la lectura de Qué debe incluir la Política de Seguridad de la Información según ISO 27001

Problemas a evitar al definir el alcance del Sistema de Seguridad de la Información

1.- Un alcance del Sistema de Gestión de Seguridad de la Información más pequeño no implica un menor trabajo.

De hecho, aquellas partes que quedan fuera de dicho alcance, serán tratadas como parte externa, lo que significa que deben definirse una serie de limitaciones de acceso a la información que sí entra dentro del alcance.

Esta limitación de acceso a la información, puede suponer mayores problemas de los considerados, por ello se considera que esto es principalmente factible en grandes organizaciones.

Cómo definir el alcance del #SistemaSeguridadInformación – SGSI Clic para tuitear

2.- Eliminar ciertos controles es algo independiente del alcance del SGSI.

Es decir, la exclusión de los controles sólo es posible cuando no existan riesgos, ni requisitos a seguir que exijan la presencia de controles para su verificación.

En definitiva, aunque a priori, definir el alcance del Sistema de Seguridad de la Información puede parecer un proceso complejo, debe saber que una vez definido el mismo, la organización se verá beneficiada, pues tendrá una mejor comprensión del ambiente laboral en el que funciona, de los requisitos en materia de seguridad de la información que debe cumplir, así como poder centrar su atención en aquella información de carácter más sensible.

Software ISOTools Excellence

El Software ISOTools Excellence, ayuda a las organizaciones en su proceso de implementación del SGSI bajo la norma ISO 27001, mediante la automatización aportada al mismo.

Para conocer más información al respecto, nuestros consultores estarán encantados de ponerse en contacto con usted para resolver todas aquellas dudas y preguntas que usted tenga.

Haz click aquí y descárgate la guía gratuita: Los Modelos de Excelencia en Latinoamérica
Nueva llamada a la acción

¿Desea saber más?

Entradas relacionadas

Esquema Nacional De Seguridad (ENS)
Esquema Nacional de Seguridad (ENS): la importancia de la auditoría
24 abril, 2024
En un mundo donde la información es un activo de gran valor, la seguridad cibernética es una prioridad...
Ver más
Lean Six Sigma
Integración de Lean Six Sigma y Normas ISO para la Excelencia Operativa
23 abril, 2024
La búsqueda constante de la excelencia operativa es fundamental para el éxito a largo plazo...
Ver más
Pensamiento Estrategico
¿Cómo integrar el Pensamiento Estrategico con la Norma ISO 45001?
22 abril, 2024
Integrar el Pensamiento Estrategico con la Norma ISO 45001 es esencial para que las organizaciones...
Ver más
50 Excelentes De ISOTools
Ya puedes leer los 50 Excelentes de ISOTools en 2023
19 abril, 2024

Nos complace presentaros una vez más los 50 excelentes de ISOTool...

Ver más

Volver arriba