Cómo definir el alcance del Sistema de Seguridad de la Información – SGSI
contacto
SOFTWARE DE GESTIÓN PARA LA EXCELENCIA EMPRESARIAL Demo Login +34 957 102 000
Blog Calidad y Excelencia

Cómo definir el alcance del Sistema de Seguridad de la Información – SGSI

Alcance del Sistema de Seguridad de la Información

La determinación del alcance del Sistema de Seguridad de la Información, ha sido una de las principales novedades incluidas en la revisión de norma ISO 27001.

Concretamente al definir el alcance del Sistema de Seguridad de la Información, se busca como principal objetivo clarificar cual es la información a la que se quiere dar protección, con independencia de dónde se halle, cómo se almacene o quién pueda acceder a la misma.

Veamos a continuación qué novedades se introducen en relación al alcance del Sistema de Seguridad de la Información tras la actualización última de 2013 de la norma ISO 27001.

Requisitos de la norma ISO 27001, para determinar el alcance del Sistema de Seguridad de la Información

A la hora de definir el alcance del Sistema de Seguridad de la Información bajo los fundamentos de ISO 27001 debemos tener en cuenta:

  • Análisis de los aspectos tanto internos como externos, tal como se recoge en la cláusula 4.1. de cara a lograr un entendimiento de la organización.
  • Identificar las partes interesadas, de acuerdo a la cláusula 4.2.
  • Analizar las interrelaciones entre lo que ocurre dentro del Sistema de Gestión de Seguridad de la Información y el mundo externo, es lo que denominamos análisis de las interfaces y dependencias.

Además de lo anterior, es también recomendable incluir en el documento que recoge el alcance del Sistema de Seguridad de la Información, información respecto a la ubicación y las unidades organizativas que integran la organización,

Vamos a centrar la atención  en el tercer de los puntos a considerar al determinar el alcance del Sistema de Seguridad de la Información, es decir cómo tratar las interfaces y dependencias entre las actividades realizadas por la organización y el mundo del exterior.

IC-ISO-CTA Boton ebook 27001 Y 22301

Haz click aquí y descárgate la guía gratuita: Los Modelos de Excelencia en  Latinoamérica

Interfaces y dependencias

Para definir las dependencias dentro del propio SGSI, se recomienda comenzar por una descripción gráfica en la que se vea claramente los procesos que estarían incluidos dentro del alcance del SGSI y aquellos otros que quedan fuera de dicho alcance.

Una vez conocidas las dependencias, lo siguiente es identificar las interfaces, las cuales son esenciales para poder conocer los límites del Sistema de Gestión de Seguridad de la Información y poder tener una mejor comprensión de las diferentes entradas y salidas que pasan por tales interfaces.

Para identificar las interfaces, se debe:

  • Identificar todos aquellos aspectos bajo su control.
  • Definir las características de alto nivel de las mencionadas interfaces en base a los tres factores como son, las personas, los procesos y la tecnología.

También le puede interesar la lectura de Qué debe incluir la Política de Seguridad de la Información según ISO 27001

Problemas a evitar al definir el alcance del Sistema de Seguridad de la Información

1.- Un alcance del Sistema de Gestión de Seguridad de la Información más pequeño no implica un menor trabajo.

De hecho, aquellas partes que quedan fuera de dicho alcance, serán tratadas como parte externa, lo que significa que deben definirse una serie de limitaciones de acceso a la información que sí entra dentro del alcance.

Esta limitación de acceso a la información, puede suponer mayores problemas de los considerados, por ello se considera que esto es principalmente factible en grandes organizaciones.

Cómo definir el alcance del #SistemaSeguridadInformación – SGSI Clic para tuitear

2.- Eliminar ciertos controles es algo independiente del alcance del SGSI.

Es decir, la exclusión de los controles sólo es posible cuando no existan riesgos, ni requisitos a seguir que exijan la presencia de controles para su verificación.

En definitiva, aunque a priori, definir el alcance del Sistema de Seguridad de la Información puede parecer un proceso complejo, debe saber que una vez definido el mismo, la organización se verá beneficiada, pues tendrá una mejor comprensión del ambiente laboral en el que funciona, de los requisitos en materia de seguridad de la información que debe cumplir, así como poder centrar su atención en aquella información de carácter más sensible.

Software ISOTools Excellence

El Software ISOTools Excellence, ayuda a las organizaciones en su proceso de implementación del SGSI bajo la norma ISO 27001, mediante la automatización aportada al mismo.

Para conocer más información al respecto, nuestros consultores estarán encantados de ponerse en contacto con usted para resolver todas aquellas dudas y preguntas que usted tenga.

IC-ISO-CTA Tira ebook 27001 Y 22301

Haz click aquí y descárgate la guía gratuita: Los Modelos de Excelencia en  Latinoamérica

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies
top