
Bienvenidos a esta Guía de ISO 27001 Contexto de la Organización y Determinación del Alcance. Comparte este articulo y síguenos para recibir más guías y cursos.
Para saber más comente a continuación, respondemos todos y cada uno de los comentarios.
¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Cumplimiento de la Cláusula 4 de ISO 27001
La Cláusula 4 de la norma ISO 27001 establece el punto de partida para desarrollar un Sistema de Gestión de Seguridad de la Información (SGSI). Su propósito es comprender el contexto de la organización, tanto interno como externo, para identificar los factores que pueden influir en la seguridad de la información.
En términos prácticos, esto implica identificar los «problemas» que pueden afectar la seguridad de la información dentro y fuera de la empresa, así como las expectativas y necesidades de todas las partes interesadas.
4.1 Comprensión de la Organización y de su Contexto
La norma ISO 27001, alineada con ISO 31000 (Gestión del Riesgo), recomienda que se realice un análisis del contexto organizacional para identificar factores internos y externos que puedan influir en la seguridad de la información.
La organización debe determinar las cuestiones externas e internas que son pertinentes para su propósito y que afectan su capacidad de lograr el(los) resultado(s) previstos de su sistema de gestión de seguridad de la información.
NOTA: La determinación de estas cuestiones se refiere al establecimiento del contexto externo e interno
de la organización considerado en el subcapítulo 5.4.1 de ISO 31000:2018
Estos factores incluyen:
- Gobernanza y gestión organizacional: cómo se toman decisiones y cómo se estructuran los procesos.
- Capacidades y conocimientos técnicos: nivel de experiencia y habilidades en seguridad de la información.
- Cultura de la organización: qué tan integrada está la seguridad dentro de la empresa.
- Relaciones contractuales: acuerdos con clientes, proveedores y terceros.
- Condiciones ambientales y regulatorias: normativas locales, nacionales e internacionales.
- Tendencias del mercado: cambios en la industria que pueden afectar la seguridad de la información.
- Avances tecnológicos: adopción de nuevas tecnologías y su impacto en la seguridad.
- Interacciones con proveedores externos: nivel de confianza y dependencia de servicios externos.
Para cumplir con este requisito, la organización debe documentar un Análisis y Evaluación de Riesgos, que contemple estos factores y su influencia en la seguridad de la información.
1. Comunicación y Consulta
La comunicación con las partes interesadas es clave para identificar riesgos, amenazas y posibles brechas en la seguridad de la información. Esto incluye dialogar con:
- Personal interno de la organización
- Proveedores y socios comerciales
- Clientes y usuarios finales
- Reguladores y organismos de certificación
Un plan de comunicación bien definido en la fase inicial del SGSI permitirá:
- Conseguir apoyo para las estrategias de mitigación de riesgos.
- Identificar riesgos desde diferentes perspectivas.
- Alinear los intereses y expectativas de todas las partes interesadas.
- Mejorar la transparencia y confianza en el sistema de gestión de seguridad de la información.
2. El Contexto del SGSI

El SGSI debe desarrollarse considerando dos niveles de contexto: interno y externo.

El Contexto Externo
Incluye todos los factores fuera de la organización que pueden afectar la seguridad de la información, tales como:
- Factores socioculturales y políticos: políticas gubernamentales, regulaciones internacionales y nacionales.
- Normativas legales y regulatorias: leyes de protección de datos como GDPR o normativas locales.
- Tendencias tecnológicas y económicas: evolución del mercado y nuevos riesgos emergentes.
- Competencia y entorno comercial: riesgos asociados a la competitividad y la innovación en el sector.
- Percepción de las partes externas: cómo clientes, proveedores y reguladores ven la seguridad de la organización.

El Contexto Interno
Factores dentro de la organización que pueden influir en la forma en que se gestiona la seguridad de la información:
- Estructura organizativa: jerarquías, responsabilidades y procesos de toma de decisiones.
- Estrategia y objetivos corporativos: alineación de la seguridad de la información con la visión de la empresa.
- Recursos y capacidades: personal, tecnología, presupuesto asignado a la seguridad.
- Cultura organizativa: nivel de concienciación y compromiso con la seguridad.
- Sistemas y flujos de información: infraestructura tecnológica y canales de comunicación dentro de la empresa.
- Modelos y normas adoptadas: regulaciones internas, estándares ISO y políticas corporativas.

Recuerde:
- Contexto Externo: Es el entorno externo en el que la organización busca alcanzar sus objetivos
- Contexto Interno: Es el entorno interno, en el que la organización busca alcanzar sus objetivos

4. El Contexto de la Gestión de Riesgos
Para que la gestión de riesgos en seguridad de la información sea efectiva, debe estar alineada con las necesidades y objetivos de la organización, asegurando que los recursos utilizados estén justificados y bien distribuidos. Esto implica definir claramente las responsabilidades, autoridades y registros que deben mantenerse durante todo el proceso de gestión de riesgos.
El contexto de la gestión de riesgos varía dependiendo de la organización y debe incluir:
- Definición de metas y objetivos para las actividades de gestión de riesgos.
- Asignación de responsabilidades dentro del proceso de gestión de riesgos.
- Delimitación del alcance y profundidad de las actividades de gestión de riesgos, especificando inclusiones y exclusiones.
- Especificación de actividades, procesos, proyectos o activos afectados, en términos de tiempo y ubicación.
- Establecimiento de relaciones entre distintos procesos y proyectos dentro de la organización.
- Definición de metodologías de evaluación de riesgos, asegurando su coherencia con los objetivos organizacionales.
- Establecimiento de mecanismos para evaluar el rendimiento y la efectividad de la gestión de riesgos.
- Determinación de las decisiones clave que deben tomarse en cada etapa del proceso.
- Definición del alcance de estudios de riesgo adicionales, así como sus recursos y objetivos.
Este enfoque sistemático garantiza que la gestión de riesgos no solo sea reactiva, sino que también esté integrada de manera proactiva en la estrategia general de la organización.
5. Definición de Criterios de Riesgo
Uno de los pilares fundamentales en la gestión de riesgos es la definición de criterios claros para evaluar la importancia de cada riesgo. Estos criterios permiten establecer un marco objetivo para la toma de decisiones y la priorización de amenazas.
Al definir los criterios de riesgo, es importante considerar los siguientes factores:
- Naturaleza y tipos de causas y consecuencias de cada riesgo, así como su forma de medición.
- Definición de la verosimilitud del riesgo, es decir, su probabilidad de ocurrencia.
- Determinación del marco de tiempo en el que la probabilidad y las consecuencias del riesgo pueden materializarse.
- Método para determinar el nivel de riesgo, combinando impacto y probabilidad.
- Opiniones y expectativas de las partes interesadas, incluyendo clientes, proveedores y reguladores.
- Definición del umbral de aceptación del riesgo, estableciendo en qué punto un riesgo es tolerable o inaceptable.
- Consideración de múltiples riesgos combinados, analizando cómo pueden interactuar entre sí.
La evaluación de riesgos compara los niveles de riesgo identificados con estos criterios predefinidos. En función de los resultados, se establecen controles para su mitigación o eliminación. Los riesgos residuales deben ser aprobados formalmente por la alta dirección de la organización.
La estimación del riesgo busca cuantificar las consecuencias de la pérdida de información, ya sea de manera cualitativa o cuantitativa, junto con su probabilidad de ocurrencia.
Identificación de las Fuentes de Riesgo
El proceso de gestión de riesgos debe comenzar con una identificación exhaustiva de todas las fuentes de riesgo y eventos potenciales que puedan impactar negativamente a la organización. Para que las decisiones sean bien fundamentadas, es crucial que cada riesgo se describa de la manera más completa posible.
Comprender la naturaleza de las amenazas, su criticidad y las vulnerabilidades existentes es un paso esencial para establecer un marco de gestión de riesgos sólido. Algunas preguntas clave que pueden guiar este proceso incluyen:
- ¿Cómo pueden verse afectadas la confidencialidad, integridad y disponibilidad de la información?
- ¿Cuál es el valor agregado de los activos de información dentro de la organización?
- ¿Qué impacto tendría una divulgación no autorizada de información?
- ¿Cómo afectaría a la organización la pérdida de confianza en la integridad de su información? (Ejemplo: corrupción de bases de datos de clientes).
- ¿Cuáles serían las consecuencias de una filtración de información en acuerdos de subcontratación o servicios en la nube?
- ¿Cuáles son las principales fuentes de riesgo dentro de la organización?
- ¿Qué tipo de amenazas existen actualmente en el entorno de la organización?
Al recopilar información para la identificación de riesgos, es recomendable consultar planes de seguridad gubernamentales y normativas de protección de datos, ya que proporcionan información validada sobre amenazas y vulnerabilidades emergentes.
La gestión de riesgos no es un proceso estático; requiere monitoreo continuo y ajustes según el contexto de la organización y las amenazas emergentes. Un enfoque estructurado y documentado garantizará que la organización esté preparada para anticipar, mitigar y responder eficazmente a los riesgos de seguridad de la información.
Herramientas para realizar el análisis interno y externo.
Análisis FODA (SWOT en inglés)
El análisis FODA es una herramienta de diagnóstico estratégico que ayuda a identificar los factores internos y externos que pueden influir en una organización, proyecto o situación específica. Se basa en cuatro elementos clave:
- Fortalezas (F – Strengths): Factores internos positivos que dan ventaja competitiva a la organización.
- Ejemplo: Tecnología avanzada, equipo altamente capacitado, fuerte presencia en el mercado.
- Oportunidades (O – Opportunities): Factores externos que pueden representar ventajas si se aprovechan correctamente.
- Ejemplo: Crecimiento del mercado, cambios regulatorios favorables, avances tecnológicos.
- Debilidades (D – Weaknesses): Aspectos internos que pueden limitar o perjudicar el rendimiento de la organización.
- Ejemplo: Falta de inversión en innovación, deficiencias en procesos internos, dependencia de pocos clientes.
- Amenazas (A – Threats): Factores externos que pueden representar riesgos o desafíos.
- Ejemplo: Competencia agresiva, crisis económica, cambios normativos adversos.
Ejemplo de Matriz FODA
Factores Positivos | Factores Negativos | |
---|---|---|
Internos | Fortalezas | Debilidades |
Externos | Oportunidades | Amenazas |
El análisis FODA se utiliza para diseñar estrategias combinando estos factores, por ejemplo:
- Estrategia DA (Debilidades + Amenazas): Reducir riesgos al mejorar debilidades.
- Estrategia FO (Fortalezas + Oportunidades): Usar las fortalezas para aprovechar oportunidades.
- Estrategia DO (Debilidades + Oportunidades): Mejorar debilidades para aprovechar oportunidades.
- Estrategia FA (Fortalezas + Amenazas): Usar fortalezas para minimizar amenazas.

Análisis PESTEL
El análisis PESTEL es una herramienta que permite evaluar el entorno macroeconómico de una organización. Analiza seis factores clave que pueden influir en la empresa:
- Político (P – Political): Regulaciones gubernamentales, estabilidad política, políticas fiscales y comerciales.
- Ejemplo: Cambios en impuestos, tratados de libre comercio, leyes de protección de datos.
- Económico (E – Economic): Factores económicos que pueden afectar a la empresa, como inflación, tipo de cambio y crecimiento del PIB.
- Ejemplo: Crisis económica, aumento del costo de producción, fluctuaciones del dólar.
- Sociocultural (S – Social): Tendencias demográficas, cambios en el comportamiento del consumidor, valores y cultura.
- Ejemplo: Preferencia por productos ecológicos, envejecimiento de la población, cambios en hábitos de consumo.
- Tecnológico (T – Technological): Avances tecnológicos y su impacto en la industria.
- Ejemplo: Automatización de procesos, inteligencia artificial, digitalización de servicios.
- Ecológico (E – Environmental): Factores ambientales y regulaciones ecológicas.
- Ejemplo: Regulaciones sobre emisiones de CO₂, sostenibilidad, políticas de reciclaje.
- Legal (L – Legal): Leyes y normativas que afectan el funcionamiento de la empresa.
- Ejemplo: Protección de datos (GDPR), normativas laborales, patentes y derechos de autor.
Ejemplo de Aplicación PESTEL en una Empresa Tecnológica

Factor | Ejemplo de Impacto |
---|---|
Político | Nuevas leyes de ciberseguridad que obligan a reforzar la protección de datos. |
Económico | Aumento de costos de producción por escasez de chips electrónicos. |
Sociocultural | Mayor demanda de productos tecnológicos amigables con el medio ambiente. |
Tecnológico | Implementación de inteligencia artificial en procesos productivos. |
Ecológico | Regulaciones sobre reciclaje de dispositivos electrónicos. |
Legal | Cambios en leyes de propiedad intelectual que afectan licencias de software. |
Diferencias entre FODA y PESTEL
Aspecto | FODA | PESTEL |
---|---|---|
Enfoque | Interno y externo | Externo |
Propósito | Diagnóstico estratégico | Evaluación del entorno macroeconómico |
Factores Analizados | Fortalezas, Oportunidades, Debilidades y Amenazas | Factores Políticos, Económicos, Socioculturales, Tecnológicos, Ecológicos y Legales |
Aplicación | Empresas, proyectos, individuos | Empresas, mercados, industrias |
El análisis FODA y PESTEL son herramientas complementarias en la planificación estratégica. Mientras que FODA permite evaluar factores internos y externos para definir estrategias organizacionales, PESTEL se centra en analizar el entorno macroeconómico que puede influir en el negocio.
Utilizar ambos enfoques proporciona una visión más completa de la situación de una empresa o proyecto, ayudando a tomar decisiones informadas y a diseñar estrategias más efectivas para enfrentar desafíos y aprovechar oportunidades en un entorno competitivo.
4.2 Comprender las Necesidades y Expectativas de las Partes Interesadas
Parte Interesada es una persona u organización que puede afectar, verse afectada o percibirse como afectada por una decisión o actividad. Algunos ejemplos de partes interesadas:

Para que un Sistema de Gestión de Seguridad de la Información (SGSI) sea eficaz, la organización debe identificar a todas las partes interesadas que puedan influir en la seguridad de la información o verse afectadas por ella. Esto incluye no solo a los actores internos de la empresa, sino también a aquellos externos que tienen expectativas o requisitos específicos en cuanto a la protección de la información.
¿Qué son las Partes Interesadas en el Contexto del SGSI?
Las partes interesadas son individuos, grupos u organizaciones que pueden impactar o ser impactados por la seguridad de la información y la continuidad del negocio. Estas partes pueden exigir un nivel de seguridad específico, requerir transparencia en la gestión de riesgos o verse afectadas en caso de un incidente de seguridad.
Algunos ejemplos de partes interesadas incluyen:
- Empleados y sus familias: La seguridad de los datos personales y laborales es crucial para su confianza y bienestar.
- Accionistas o propietarios del negocio: Buscan garantías de que la información crítica de la empresa está protegida para evitar pérdidas financieras y daños a la reputación.
- Agencias gubernamentales y entidades reguladoras: Exigen el cumplimiento de normativas de seguridad y protección de datos como GDPR, ISO 27001, entre otras.
- Servicios de emergencia: En caso de incidentes de ciberseguridad que puedan afectar infraestructuras críticas, estos organismos deben estar informados.
- Clientes: Esperan que sus datos sean manejados de forma segura y que la empresa cuente con medidas efectivas para prevenir filtraciones de información.
- Medios de comunicación: Pueden influir en la percepción pública de la empresa en caso de una brecha de seguridad.
- Proveedores y socios comerciales: Dependen de la seguridad de la información compartida con la organización y pueden imponer requisitos de seguridad en contratos.
- Cualquier otro actor relevante: Dependiendo del sector, pueden existir otras partes interesadas, como inversionistas, comunidades locales o entidades de certificación.
Consideración de las Necesidades y Expectativas de las Partes Interesadas
Una vez que la organización ha identificado a sus partes interesadas, debe analizar sus necesidades y expectativas para garantizar que el SGSI pueda responder adecuadamente a ellas. Esto implica:
- Determinar qué requisitos son relevantes para la seguridad de la información.
- No todas las necesidades de las partes interesadas afectan directamente al SGSI. Se debe filtrar y priorizar aquellas que tienen un impacto real en la protección de la información.
- Incluir requisitos legales, normativos y contractuales.
- Cumplir con leyes de protección de datos, normativas de seguridad y cláusulas contractuales específicas con clientes y proveedores.
- Identificar cómo se pueden satisfacer estos requisitos dentro del SGSI.
- Asegurar que las políticas y controles de seguridad aborden estas expectativas y establezcan medidas para cumplirlas.
Importancia de Conocer las Expectativas de las Partes Interesadas
No basta con asumir lo que las partes interesadas esperan de la organización; es fundamental recopilar información de manera activa. Esto se puede lograr a través de:
- Encuestas internas y externas sobre seguridad de la información.
- Revisión de normativas y regulaciones aplicables.
- Análisis de contratos con clientes y proveedores.
- Consultas con organismos reguladores y asociaciones del sector.
- Evaluación de tendencias y expectativas del mercado en materia de seguridad.
Al integrar estos elementos dentro del SGSI, la organización garantiza que su sistema de gestión esté alineado con los intereses de todas las partes relevantes, minimizando riesgos y fortaleciendo la confianza en la seguridad de la información.
Caso Práctico: Identificación de Partes Interesadas en ISO 27001
La identificación de las partes interesadas es un paso clave en la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) conforme a ISO 27001. Este proceso permite comprender las necesidades y expectativas de los actores clave que pueden influir o ser afectados por la seguridad de la información en la organización.
Antes de desarrollar el SGSI, es esencial definir con precisión los requisitos específicos de cada parte interesada, considerando leyes, regulaciones, contratos y compromisos adquiridos.
Prioridades de la Organización Para un SGSI
Entradas
- Objetivos estratégicos de la organización
- Panorama general de los SG actuales
- Lista de requisitos legales, reglamentarios y contractuales de S.I.
Los objetivos para implementar SGSI:
- Gestión del riesgo: Cómo el SGSI generará una mejor gestión del riesgo
- Eficiencia: En los procesos
- Ventaja competitiva: Crear V.C.
PRIORIDADES Y REQUISITOS DE S.I. A PARTIR DE LOS SIGUIENTES FACTORES:
- Áreas críticas de la organización y del negocio
- Información critica
- Normativas que exigen medidas de Seguridad de la Información.
- Acuerdos contractuales relacionados con la Seguridad de la Información
- Requisitos de la industria especifiquen controles o medidas particulares de Seguridad de la Información
- Amenazas del entorno
- Impulsores competitivos
- Requisitos de la continuidad del negocio
Salidas
- Resumen de los objetivos, las prioridades de la Seguridad de la Información. y los requisitos organizacionales para un SGSI
- Una lista de requisitos reglamentarios, contractuales y de industria, relacionados con la Seguridad de la Información de la Organización.
- Un esquema de las características del negocio, la Organización, activos y tecnología.
Ejemplo de Identificación de Partes Interesadas y sus Requisitos
1. Accionistas
Los accionistas buscan seguridad en sus inversiones y la garantía de que la empresa opera de manera eficiente y rentable.
Requisitos:
- Implementación de medidas efectivas de seguridad para minimizar riesgos financieros.
- Cumplimiento de normativas y regulaciones para evitar sanciones y litigios.
- Protección de la reputación de la empresa en materia de seguridad de la información.
- Informes periódicos sobre la gestión de seguridad y continuidad del negocio.
2. Clientes
Los clientes requieren que la organización cumpla con los estándares de seguridad establecidos en los contratos y en las regulaciones aplicables.
Requisitos:
- Entrega de productos y servicios con soporte y mantenimiento:
- Cumplimiento de requisitos contractuales.
- Planes de contingencia en caso de interrupciones.
- Cumplimiento de regulaciones legales aplicables.
- Cumplimiento de requisitos específicos de la industria.
- Condiciones de servicio:
- Soporte y mantenimiento 24/7/365.
- Disponibilidad de sistemas garantizada en un 99.9%.
- Acuerdo de Nivel de Servicio (SLA) de respuesta a incidentes en un máximo de 4 horas.
- Normativas de seguridad aplicables:
- Cumplimiento con ISO 27001.
- Cumplimiento con PCI DSS v3.2.1 para la protección de datos de tarjetas de pago.
3. Usuarios Finales
Los usuarios finales esperan que la empresa garantice la disponibilidad y protección de sus datos personales y confidenciales.
Requisitos:
- Disponibilidad de servicios:
- Implementación de sistemas de respaldo y recuperación ante fallos.
- Servicios de soporte en caso de interrupciones.
- Protección de datos personales:
- Cumplimiento de regulaciones de privacidad y protección de datos.
- Protección de la información confidencial de los usuarios.
4. Socios Comerciales
Los socios son empresas que utilizan las aplicaciones y servicios de la organización para ofrecer productos a sus propios clientes.
Requisitos:
- Desarrollo y soporte:
- Cumplimiento con estándares de desarrollo de software establecidos en acuerdos.
- Provisión de información técnica para el desarrollo de API.
- Capacitación técnica y comercial sobre productos y servicios.
- Compromisos contractuales:
- Cumplimiento de acuerdos de confidencialidad.
- Respeto de los tiempos de entrega acordados.
5. Proveedores
Los proveedores ofrecen insumos y servicios a la organización, por lo que es fundamental que cumplan con los acuerdos establecidos.
Requisitos:
- Cumplimiento de términos y condiciones contractuales.
- Respeto a los acuerdos de pago.
- Cumplimiento de cláusulas de confidencialidad.
6. Empleados
El personal interno es clave en la seguridad de la información, por lo que la organización debe garantizar un ambiente de trabajo seguro y estable.
Requisitos:
- Condiciones laborales adecuadas:
- Ambiente de trabajo seguro y apropiado.
- Claridad en los requisitos y expectativas laborales.
- Protección de la información personal del empleado.
- Salarios justos y continuidad del empleo.
- Oportunidades de desarrollo profesional.
- Capacitación en seguridad de la información:
- Formación sobre políticas y procedimientos de seguridad.
- Programas de concienciación sobre ciberseguridad.
7. Aseguradoras
Las aseguradoras exigen que la organización cumpla con ciertos requisitos para garantizar la validez de sus pólizas de seguridad.
Requisitos:
- Cumplimiento con las políticas de seguridad establecidas en la póliza.
- Pago puntual de primas y tarifas.
- Comunicación de cambios en las condiciones del negocio o nivel de riesgo.
8. Entidades Regulatorias y Administración
Las agencias gubernamentales y reguladoras establecen normativas de seguridad y privacidad de la información que deben cumplirse.
Requisitos:
- Cumplimiento legal:
- Leyes de protección de datos (Ejemplo: GDPR, Ley de Protección de Datos Personales).
- Cumplimiento de requisitos específicos del sector.
- Cumplimiento de la Ley de Comercio Electrónico y de Telecomunicaciones.
- Gestión de comunicación de incidentes:
- Implementación de planes de comunicación para gestionar incidentes de seguridad.
- Procedimientos establecidos para notificar brechas de seguridad a los reguladores.
La identificación de partes interesadas y sus requisitos es un paso fundamental en la implementación de ISO 27001. Cada grupo de interés tiene expectativas específicas relacionadas con la seguridad de la información, por lo que es crucial documentar y gestionar estos requerimientos dentro del SGSI.
Para cumplir con la norma, la organización debe:
- Identificar las partes interesadas relevantes.
- Determinar sus necesidades y expectativas en relación con la seguridad de la información.
- Definir los requisitos legales, contractuales y regulatorios aplicables.
- Asegurar que el SGSI integre controles y procedimientos para cumplir con estos requisitos.
- Revisar periódicamente la lista de partes interesadas y actualizar sus necesidades conforme a cambios en el entorno.
Este enfoque garantiza que la seguridad de la información se gestione de manera eficaz, alineándose con las expectativas del negocio, los reguladores y los clientes, fortaleciendo así la confianza y la resiliencia organizacional.
4.3 Determinación del Alcance del Sistema de Gestión de Seguridad de la Información (SGSI)
La organización debe determinar los límites y la aplicabilidad del sistema de gestión de la seguridad de la información para establecer su alcance.
Cuando se determina este alcance, la organización debe considerar:
- Las cuestiones externas e internas referidas en el apartado 4.1
- Los requisitos referidos en el apartado 4.2
- Las interfaces y dependencias entre las actividades realizadas por la organización y las que se llevan a cabo por otras organizaciones
El alcance debe estar disponible como información documentada.
Definir correctamente el alcance del SGSI es un paso fundamental en la implementación de un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001. Este proceso permite establecer los límites dentro de los cuales se aplicará el SGSI, asegurando que los controles y medidas de seguridad sean efectivos y alineados con los objetivos estratégicos de la organización.

Elementos Clave para la Definición del Alcance
Para determinar el alcance del SGSI, es necesario considerar:
- El contexto de la organización: Identificar los factores internos y externos que pueden influir en la seguridad de la información.
- Las partes interesadas: Comprender sus necesidades y expectativas en relación con la seguridad de la información.
- Los activos y procesos críticos: Determinar qué productos, servicios, tecnologías, ubicaciones y activos de información serán protegidos dentro del SGSI.
- Dependencias externas: Identificar si proveedores, socios o terceros deben cumplir con los requisitos del SGSI.
- Interfaces y servicios externalizados: Considerar si existen actividades de seguridad que dependen de servicios externos y si deben estar dentro del alcance.
“Definir el alcance del SGSI en términos de las características del negocio, la organización, su ubicación, activos y tecnología”.

Importancia de una Correcta Definición del Alcance
Una adecuada delimitación del SGSI proporciona múltiples beneficios:
- Optimización de recursos: Se identifican claramente los recursos necesarios, evitando el uso innecesario de tiempo, costos y esfuerzos.
- Planificación efectiva: Permite establecer un calendario de implementación y un presupuesto adecuado.
- Alineación con los riesgos: Facilita la integración de la gestión de riesgos con los requisitos de seguridad de la organización.
- Cumplimiento normativo: Asegura que los controles implementados aborden las regulaciones y requisitos contractuales aplicables.
Preguntas Clave para Definir el Alcance del SGSI
Para establecer los límites del SGSI, la organización debe responder a preguntas como:
- ¿Qué productos y servicios estarán cubiertos por el SGSI?
- ¿Cómo y por qué estos productos o servicios son críticos para la organización?
- ¿Qué activos, ubicaciones, sistemas y tecnologías deben incluirse?
- ¿Se exigirá a proveedores y partes externas que cumplan con el SGSI?
- ¿Las actividades de la organización dependen de terceros o interfaces externas?
- ¿Qué información debe protegerse y bajo qué regulaciones o normativas se encuentra?
Consideraciones Previas a la Definición del Alcance

Antes de establecer el alcance definitivo, es importante:
- Revisar los requisitos de seguridad identificados en la Cláusula 4.1 de la norma ISO 27001.
- Identificar servicios y procesos críticos, especialmente aquellos cuya confidencialidad, integridad o disponibilidad pueden afectar significativamente a la organización o sus clientes.
- Definir el alcance organizacional, especificando qué departamentos, áreas o funciones estarán bajo el SGSI.
- Establecer el alcance de las tecnologías de información y comunicación (TIC), identificando sistemas, redes, bases de datos y otras infraestructuras clave.
- Delimitar el alcance físico, definiendo las ubicaciones geográficas donde se aplicará el SGSI.
- Integrar todos estos elementos en un alcance general del SGSI.
- Considerar servicios externalizados, asegurando que proveedores y socios cumplan con los requisitos de seguridad.
Un documento de definición de alcance podría considerar lo siguiente:
- Características de la organización
- Procesos de la organización
- Funciones y responsabilidades
- Activos de información
- Ubicación geográfica
- Alcance y límites desde la perspectiva organizacional
- Alcance y límites desde la perspectiva tecnológica

La organización debe establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información, incluyendo los procesos necesarios y sus interacciones, de acuerdo con los requisitos de esta norma internacional.
Ejemplo de Alcance del SGSI
«El Sistema de Gestión de Seguridad de la Información de la empresa XYZ abarca los procesos de desarrollo, mantenimiento y operación de sistemas informáticos en sus oficinas centrales y centros de datos en Madrid y Barcelona. El SGSI cubre la infraestructura de TI, el almacenamiento y procesamiento de datos de clientes, así como los mecanismos de respuesta ante incidentes de seguridad. Se incluyen los proveedores de servicios en la nube dentro del alcance del SGSI, exigiendo el cumplimiento de requisitos de seguridad conforme a la norma ISO 27001.»
Este ejemplo muestra una definición clara de qué procesos, ubicaciones y activos estarán protegidos por el SGSI, facilitando su implementación y gestión.
Cómo Definir el Alcance de un SGSI
1. Identificar lo que necesita ser protegido
El primer paso para definir el alcance es determinar qué activos de información deben ser protegidos para respaldar los objetivos comerciales de la organización.
Estrategia recomendada:
- Crear un inventario de activos, identificando información sensible, sistemas críticos y procesos esenciales.
- Justificar por qué cada activo requiere protección con base en su impacto en la organización.
- Realizar un análisis y evaluación de riesgos para determinar qué activos deben incluirse en el SGSI.
💡 Consejo: Además de definir lo que estará en el alcance, es útil especificar lo que queda fuera del SGSI (por ejemplo, los datos de Recursos Humanos pueden no estar dentro del alcance si no son críticos para la seguridad de la información).
2. Comprender la Organización
Si el alcance del SGSI se basa en la protección de activos críticos, es fundamental comprender la estructura y los componentes de la organización.
- Analizar la infraestructura: Diagramas de sistemas, almacenamiento de datos y flujos de información.
- Identificar personal clave: Definir qué roles están involucrados en la administración de los sistemas protegidos.
- Evaluar la dependencia de terceros: Identificar interfaces con proveedores o sistemas externos que puedan afectar la seguridad.
3. Asegurar el Apoyo al Alcance del SGSI
El alcance del SGSI debe ser aprobado por la alta dirección y las partes interesadas relevantes.
- Formalizar el alcance en un documento aprobado.
- Asegurar que las expectativas y limitaciones del SGSI sean claras para todos los involucrados.
- Evaluar el nivel de control sobre los sistemas y servicios incluidos en el SGSI.
💡 Consejo: Si un sistema o servicio está fuera del control de la organización (por ejemplo, servicios administrados por terceros), no debería incluirse en el alcance del SGSI.
4. Monitorear y Revisar el Alcance
El alcance del SGSI no es estático y debe ser revisado periódicamente para adaptarse a:
- Cambios en la organización (reestructuración, nuevas adquisiciones, expansión).
- Actualizaciones regulatorias (nuevas normativas o estándares de seguridad).
- Modificaciones en los procesos internos (nuevas tecnologías o externalización de servicios).
- Incidentes de seguridad que indiquen que el alcance no estaba bien definido.
Motivos para Revisar el Alcance del SGSI
- Cambios regulatorios que exijan nuevos controles de seguridad.
- Actualización de estándares (como nuevas versiones de ISO 27001 o PCI DSS).
- Reestructuración organizativa que afecte el manejo de la información.
- Incidentes de seguridad que revelen debilidades en el alcance actual.
- Maduración del SGSI con el tiempo, requiriendo una expansión o refinamiento del alcance.
- Modificación en procesos internos o cambios en la externalización de servicios.
Determinación del Alcance del SGSI – Metodología

Método de Elipses
1 Ubique los procesos de mayor relevancia dentro de la elipse del alcance.

2 Ubique los demás procesos de acuerdo a las características propias de la organización.

3 Ubique aquellos servicios externos que tienen interacción con los procesos del alcance.

4. Trace las interrelaciones entre los procesos de acuerdo con la descripción de las interacciones e interrelaciones entre los mismos

Ejemplo de Alcance del SGSI
«El Sistema de Gestión de Seguridad de la Información de la empresa XYZ cubre los procesos de almacenamiento, procesamiento y transmisión de datos de clientes en los centros de datos de Madrid y Barcelona. Incluye la infraestructura de TI, los servidores, redes internas y servicios en la nube contratados con terceros. Los proveedores de servicios en la nube deben cumplir con los requisitos de seguridad del SGSI conforme a la norma ISO 27001.»
Definir correctamente el alcance del SGSI permite a la organización:
✅ Proteger los activos de información críticos.
✅ Optimizar los recursos evitando esfuerzos innecesarios.
✅ Cumplir con regulaciones y estándares de seguridad.
✅ Asegurar que el SGSI sea claro y aplicable.
Un SGSI con un alcance bien definido garantiza que los controles de seguridad sean efectivos, alineados con los objetivos del negocio y adaptables a cambios futuros.
Diagrama estructural funcional
- Plantee un diagrama de la estructura funcional de la organización.
- Identifique las áreas incluidas en el alcance planteado.
- Resalte las líneas de mando y demás información relevante para la seguridad.

Diagrama planta física
- Represente, en un diagrama, la planta física de la organización.
- Identifique las áreas incluidas en el alcance planteado.
- Resalte los puntos de acceso, barreras físicas, facilidades y demás información relevante para la seguridad.

Diagrama planta lógica
- Represente en un diagrama la organización lógica de la red y los servicios de TI de la organización.
- Identifique las áreas incluidas en el alcance planteado.
- Resalte las puertas de enlace, enrutadores, barreras de fuego, equipos activos, servicios, actores, facilidades y demás información relevante para la seguridad.

No te detengas, sigue avanzando
Aprende con nuestros más de 100 cursos que tenemos disponibles para vos
¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Sobre la autora
Romina Orlando
Con más de 20 años de experiencia en liderazgo, gestión financiera y empresarial. Brindo Educación y Consultoría a profesionales, bancos y empresas. Puedes seguirme en mis redes:
Compartimos estos recursos para ayudar a la comunidad. COMPARTE y Siéntete libre de agregar más sugerencias en los comentarios a continuación, respondemos todos y cada uno de los comentarios.