Definir el alcance de la norma ISO 27001 es una tarea que merece atención, planificación y gran capacidad de análisis. Las organizaciones que no tienen experiencia previa en el estándar de Seguridad de la Información se enfrentan algunos retos que pueden convertirse en un cuello de botella en el proceso de implementación.
Definir el alcance de la norma ISO 27001 no es una tarea protocolaria más. Tomar una decisión que permita definir un alcance “provisional” para avanzar en la tarea es un grave error. Y lo es porque definir qué tipo de información se debe proteger puede repercutir en los siguientes pasos en la implementación.
Por lo tanto, establecer claramente el alcance de la norma ISO 27001 es importante y es necesario hacerlo bien. No es una cuestión que implique gran dificultad si se tienen en cuenta algunos aspectos básicos.
¿Cuál es el propósito del alcance de la norma ISO 27001?
Un Sistema de Gestión SI se implementa para proteger la información de la organización. Es un axioma que parece redundante y en extremo simple. Sin embargo, si se añaden algunas preguntas, deja de parecer tan fácil: ¿Qué información se pretende proteger? ¿En qué ubicaciones? ¿Qué tipo de información será objetivo del sistema? ¿Quién se encargará de la protección? ¿Qué recursos están disponibles para el proyecto?
Determinar el alcance de la norma ISO 27001 sirve para establecer un marco sobre el que se trabajará. Delimitar el campo de acción permite evaluar los riesgos pertinentes, dimensionar el presupuesto que demandará el proyecto, asignar responsabilidades con coherencia, establecer tiempos para alcanzar los objetivos y fijar objetivos inteligentes.
¿Qué dice la norma ISO 27001 sobre el alcance?
Definir el alcance de la norma ISO 27001 es una solicitud y uno de los requisitos de la norma. Es una de las primeras tareas que hay que realizar, aunque hay otras anteriores que es preciso completar antes de iniciar la definición del alcance. ISO 27001 solicita las siguientes cuestiones:
- Establecer el contexto interno y externo (4.1).
- Identificar las partes interesadas y sus intereses y expectativas. (4.2)
- Establecer conexiones, interfaces y dependencias o posibles interacciones entre el sistema y su alcance y algún factor o elemento fuera del alcance.
- Documentar el trabajo de definición del alcance.
Estas acciones, que necesitan documentación, proporcionan la información necesaria para definir el alcance de la norma ISO 27001. Además, aunque la norma no las solicita como iniciativas complementarias, siempre serán bien recibidas por los auditores algunas otras:
- Descripción del alcance, utilizando planos o diagramas para explicar los límites físicos.
- Organigramas o flujos de procesos cuando el límite del alcance se fija con base en esos criterios.
Qué son interfaces y dependencias en el alcance de la norma ISO 27001
La diferencia entre interfases y dependencias es sutil, pero importante. Las dependencias se definen como la relación que existe entre procesos que se incluyen dentro del alcance y los que no. Los últimos, los que no están dentro del alcance, suelen ser proporcionados por terceros, que no siempre están relacionados con el área de Seguridad de la Información o de TI.
Las interfaces son puntos por los que pasan entradas y salidas de procesos. Un servidor, un enrutador o una red de fibra óptica, que son elementos usualmente bajo el control de un operador, se convierten en interfaces que necesitan supervisión y forman parte del alcance del sistema.
Cómo documentar el alcance de la norma ISO 27001
El alcance es un documento solicitado por el estándar de Seguridad de la Información. Esto significa que es obligatorio. La parte más difícil, no obstante, estará en este punto: obtener la información y establecer los criterios para definir el alcance. La redacción del documento necesita cumplir algunas formalidades e incluir cierta información:
- Documento corto, preciso y concreto.
- Lista de procesos, procedimientos y tareas incluidas.
- Lista de ubicaciones físicas o unidades de negocio, cuando es este el criterio de definición del alcance de la norma ISO 27001.
- Descripción física del alcance.
- Exclusiones relevantes del alcance.
Algunos ejemplos de alcance de la norma ISO 27001
La definición del alcance es una de las tareas más particulares y únicas, copiarlo no es una opción. Existen pocas probabilidades de que el alcance funcional y exitoso de una organización funcione para otra, aunque trabajen en la misma industria, en el mismo país y en la misma ciudad.
Sin embargo, los ejemplos siempre servirán como guía para adoptar los aspectos formales correctos. Estos son dos, extraídos de dos organizaciones diferentes:
1. Ejemplo organización sector farmacéutico
Se trata de una empresa del sector farmacéutico de gran tamaño, con más de 700 empleados. Para este ejemplo, la organización optó por un alcance limitado a un área específica:
- Alcance: Departamento de TI.
- Procesos: análisis de mercado, investigación, desarrollo y pruebas.
- Ubicación física: descripción exacta de los límites físicos de las oficinas en las que funciona el Departamento de TI.
- Exclusiones: dispositivos, tabletas y ordenadores de empleados que trabajan desde casa.
2. Ejemplo organización fabricante de software
Mediana empresa con 45 empleados que decide implementar un Sistema de Gestión de Seguridad de la Información con alcance total, sobre todos los procesos y todos los departamentos:
- Alcance: Todos los departamentos, todas las ubicaciones, todos los procesos.
- Procesos: Todos los procesos, incluso los comerciales o de otros sistemas de gestión, como Calidad o Gestión Ambiental.
- Ubicación física: delimitación física de las instalaciones de la organización.
- Exclusiones: servidores físicos o alojamiento en la nube prestados por proveedores externos.
Algunas organizaciones que ya han emprendido procesos de Transformación Digital, automatizan sus sistemas de gestión desde las etapas primarias de la implementación, incluyendo la definición del alcance. Este tipo de organizaciones potencian los beneficios de la gestión y alcanzan objetivos mucho más rápido. Otro elemento esencial para el éxito de la Gestión SI es la formación.
Diplomado de Seguridad de la Información ISO/IEC 27001
El estándar internacional sobre Seguridad de la Información se actualizó en el año 2022, aspecto que recoge el Diplomado de Seguridad de la Información ISO/IEC 27001. Se trata de un programa de excelencia diseñado para formar a profesionales capaces participar en el diseño, implementación y gestión de sistemas de Seguridad de la Información conforme a la norma ISO/IEC 27001:2022.
Los alumnos que superen el programa obtienen una doble certificación: la del Diplomado y la de auditores internos de SG-SI. Una titulación con la que, además, podrán acceder a la certificación ERCA y trabajar así en diferentes países de América Latina y Europa.
El programa del Diplomado de Seguridad de la Información ISO/IEC 27001 está abierto. Puedes comenzar ya mismo tu formación. Además, la Escuela Europea de Excelencia ofrece becas sociales Consulta aquí si puedes optar a una de ellas.