Uno de los activos más valiosos que toda entidad debería de proteger es su información, pues de él depende el éxito en el funcionamiento de la organización. La pregunta que podríamos hacernos es cómo proteger esa información. Debemos ser conscientes de que los fallos de seguridad de la información en la empresa producen un fuerte impacto, ya que puede causarnos pérdidas financieras, litigios civiles o laborales, denuncias y sanciones, pérdidas de clientes, daño en la imagen y costes de recuperación, entre otros.
Esta seguridad y protección de la información la podemos conseguir mediante la implementación de un conjunto de controles aplicables que seleccionaremos a través del proceso de gestión de riesgos que hayamos elegido y gestionado por medio de un sistema de gestión de seguridad de la información. Para ello, tendremos que emplear políticas, procesos, procedimientos, estructuras organizativas, software y hardware apropiado para proteger los activos de información identificados.
En términos de un SGSI, la gestión de la seguridad de la información supone que la entidad ha de supervisar y tomar decisiones necesarias para alcanzar satisfactoriamente los objetivos de negocio de la entidad mediante la protección de los activos de información de la organización. La determinación del alcance del SGSI, es un paso necesario para que la entidad aplique los controles apropiados para proteger la información. Los límites del SGSI vendrán dados por la ubicación física, activos de información de la empresa, estructura organizativa, procesos y actividades principales, con independencia de que los elementos críticos se encuentren en un entorno cloud o en equipos locales.
Las ventajas de implantar un SGSI son considerables, pues permitiría a la empresa definir los objetivos y directrices de seguridad, actuaciones de seguridad sistemáticas, coordinación entre departamentos, respuesta rápida ante incidentes, prevención de la ocurrencia de incidentes y mejor valoración de la información por el personal. Todas las partes han de estar implicadas en la ejecución del SGSI, sobre todo es preciso contar con el apoyo de la alta dirección y con la formación y concienciación de todo el personal de la empresa.
Definamos el alcance de nuestro sistema de gestión de seguridad de la información: Los requisitos de la Norma ISO/27001
A la hora de implantar un sistema de gestión de seguridad de la información tendremos que valorar los beneficios que nos supone aplicar un SGSI bajo la Norma ISO/27001. Uno de ellos es la posibilidad de obtener una certificación del sistema de gestión de seguridad de la información que hayamos implementado. A esta Norma ISO/27001 nos referiremos para definir cuáles son los aspectos relevantes para determinar el alcance del SGSI que pretendemos implantar en nuestra entidad para conseguir proteger la información.
En este alcance del SGSI debemos determinar las partes o procesos de la organización que se van a incluir, indicando cuáles son los procesos críticos y decidiendo lo que es necesario proteger. Definiremos las actividades de la organización, las ubicaciones físicas que estarán involucradas en el SGSI, la tecnología de la organización, así como las áreas que en su caso estimemos que se excluirán de la implantación del sistema. Aunque en el caso de decidir la exclusión de algún departamento, podría suponer un problema, ya que el departamento exento sería considerado, por ejemplo, como un ente externo de la empresa, lo cual implicaría falta de control en nuestro SGSI y, además, supondría un esfuerzo para la entidad separar las infraestructuras involucradas en el acceso a la información.
La Norma ISO/IEC 27001 establece los siguientes requisitos para determinar el alcance de un SGSI con éxito. En primer lugar, considerar el contexto externo e interno de la organización, en segundo lugar, los requisitos de las partes interesadas y, en tercer lugar, considerar las dependencias entre las actividades de la organización y las de otras organizaciones. Se recomienda que el alcance del SGSI se documente. En el caso de la Norma ISO/IECE 27001, la documentación del alcance es un documento obligatorio.
El Primer requisito para determinar el alcance del SGSI: Considerar las cuestiones externas e internas
En este momento, la organización, tiene que determinar cuáles son las cuestiones externas e internas pertinentes para su propósito y que afecten a su capacidad para lograr los resultados previstos en su sistema de gestión de seguridad de la información.
Es decir, para poder conocer cuáles son esas cuestiones tenemos que analizar el contexto de la organización, tanto el interno como externo para diseñar el mejor marco de referencia de nuestro SGSI. El análisis del contexto interno y externo podemos definirlo con los elementos de las siguientes listas, aunque estas no son limitativas:
Contexto Interno de la organización (está bajo el rango de poder de la organización)
El proceso de gestión del riesgo de nuestro SGSI debe estar en línea con la cultura, los procesos, la estructura y la estrategia de la organización.
-
Visión, misión y valores
-
Gobernanza, estructura de la organización y roles
-
Estrategia, objetivos
-
Cultura de la organización
-
Normas, directrices y modelos adoptados por la organización
-
Capacidades, entendidas en términos de recursos y conocimiento
-
Datos, sistemas de información y flujos de información
-
Secretos profesionales
-
Datos personales del personal empleado
-
Relaciones con partes interesadas internas, teniendo en cuenta sus percepciones y valores
-
Interdependencias e interconexiones
Contexto externo de la organización (está fuera del rango de poder de la organización)
Es importante que quede definido para que la entidad pueda conseguir que los objetivos e intereses de las partes interesadas externas son tomados en cuenta cuando se desarrollan los criterios de riesgos del sistema de gestión de seguridad de la información.
-
Factores sociales, culturales, políticos, legales, reglamentarios, financieros, tecnológicos, económicos y ambientales ya sea a nivel internacional, nacional, regional o local
-
Impulsores clave y las tendencias que afectan a los objetivos de la organización
-
Relaciones, percepciones, valores, necesidades y expectativas de las partes interesadas externas
-
Relaciones contractuales y los compromisos
-
Complejidad de las redes y dependencias
¿Quieres implementar un sistema de gestión de seguridad de la información?
El Segundo requisito para determinar el alcance del SGSI: Consideración de las partes interesadas
Es preciso que la organización analice las necesidades y expectativas de las partes interesadas que son relevantes para la implantación del sistema de gestión de seguridad de la información y los requisitos de estas, puesto que a veces habrá que tener en cuenta requisitos legales, reglamentarios y obligaciones legales. Para determinar quiénes son partes interesadas, partiremos de la base que serán aquellas que puedan favorecerse de la efectividad del SGSI, o bien que se vean afectados en el caso de que ocurriese algún incidente de seguridad. Estas personas varían dependiendo del tipo de organización y habrá que tener en cuenta el tipo de actividad que se desarrolle.
Las partes interesadas internas del SGSI dentro de la organización pueden ser:
-
Los socios de la organización; personas físicas y entidades jurídicas
-
Los responsables de área con activos críticos; área TI, área RR.HH., área financiera, entre otras áreas
Las partes interesadas externas de una organización a tener en cuenta para la implantación del SGSI pueden ser:
-
Los socios; socios de negocio
-
Los terceros; clientes y proveedores
-
Las entidades públicas: locales, nacionales e internacionales
El Tercer requisito para determinar el alcance del SGSI: Interfaces y dependencias entre las actividades realizadas por la organización y las que se llevan a cabo por otras organizaciones.
El tercer requisito que debemos analizar para determinar el alcance de nuestro sistema de gestión de seguridad de la información son las dependencias e interfaces que se presentan en la organización.
La identificación de los procesos y la tecnología que se utiliza en cada uno de esos procesos es un paso imprescindible que debemos realizar en este momento en el que se determina el alcance del SGSI. Se tienen que entender los procesos de negocio con todo detalle analizando cada una de las actividades que se desarrollan en ellos.
La definición de proceso aplicado al SGSI sería: el conjunto de actividades que utiliza recursos y se gestiona de forma que suponen la transformación de unos elementos de entrada en otros de salida.
Los procesos internos de la organización forman parte importante del sistema de gestión de seguridad de la información. Además de estos, también debemos entender y analizar los procesos críticos de negocios que nos afectan y provienen del exterior. Ambos tipos de procesos tanto los internos como externos, se definen como dependencias dentro del SGSI.
Si hemos definido correctamente las dependencias, la identificación de las interfaces que pueden afectar al SGSI resulta más fácil. Los puntos de contacto entre los procesos internos y externos son lo que denominamos interfaces. A través de estos puntos de contacto se generan las entradas y salidas de los procesos.
Existen tres factores que pueden ayudarnos a identificar estos puntos de contacto de nuestro SGSI; las personas, los procesos y la tecnología. Otra forma de identificación sería tener en cuenta todos los puntos finales sobre los que la entidad tiene control.
Hemos visto a lo largo de este post que el alcance del SGSI es uno de los momentos más importantes a tener en cuenta para que la implantación del sistema de gestión de seguridad de la información se realice con éxito y nuestra entidad pueda obtener todos los beneficios competitivos y ventajas que conlleva.
Son muchos los pasos que han de darse para recopilar toda la información necesaria para definir los procesos, analizar el contexto interno y externo de la organización, identificar correctamente las partes interesadas y la interrelación entre las dependencias e interfaces de la organización. Para ello será preciso, realizar cuestionarios y estudios, diagramas de contextos, analizar documentación, productos. Se precisará también convocar comités para llegar a consensos claros donde participe la alta dirección, entre otros.
El alcance del SGSI no tiene un carácter inamovible, sino que este se irá ajustando según vaya cambiando la entidad con respecto al contexto externo e interno de la organización. Debe ser revisado con el objeto de mejora continua.
Tanto para su ejecución como para la realización de las revisiones continuas de mejora es preciso contar con auditores formados y experimentados en la materia. En Grupo CFI contamos con un equipo de auditores expertos, que recientemente han obtenido la Certificación Lead Auditor ISO 27001 por CQI e IRCA, que pueden ayudar a su entidad a determinar el alcance del SGSI que mejor se adecue a los valores su empresa y conseguir una implantación de éxito del SGSI conforme a la norma ISO/27001.
Lucía Rodríguez Romero
Consultora de Grupo CFI
Delegada de Protección de Datos Certificada: CP-X3-0212/2019
Experta en protección de datos y comercio electrónico.