Bienvenidos a esta guía sobre ISO 27001 Objeto, Campo de Aplicación y Alcance del SGSI. Comparte este articulo y síguenos para recibir más guías y cursos.

Para saber más comente a continuación, respondemos todos y cada uno de los comentarios.

Índice

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Objeto y Campo de Aplicación: Definición del Alcance del SGSI

Antes de implementar la norma ISO 27001, es imprescindible definir el alcance del Sistema de Gestión de Seguridad de la Información (SGSI). Este paso es crucial, ya que determinará qué información será protegida, qué procesos estarán incluidos y qué activos y ubicaciones formarán parte del sistema.

¿Para qué definir el alcance del SGSI?

El alcance de un SGSI se establece con el objetivo de:

  • Determinar qué información será protegida y bajo qué condiciones.
  • Garantizar la seguridad de la información sin importar su ubicación, acceso o medio de almacenamiento.
  • Delimitar el alcance del SGSI en caso de certificación, asegurando que el auditor solo evalúe los elementos incluidos.

Identificación de la Información a Proteger

Para definir correctamente el alcance del SGSI, es esencial comprender que la seguridad de la información no depende de su ubicación física. La protección de los datos debe abarcar todos los escenarios posibles, independientemente de:

  • Si la información se almacena en servidores locales o en la nube.
  • Si se accede a los datos desde la red interna o mediante conexiones remotas.
  • Si se utilizan dispositivos personales o empresariales para acceder a la información.

Caso Práctico: Alcance del SGSI en Dispositivos Portátiles

Un error común en la definición del alcance es excluir ciertos dispositivos porque no están físicamente dentro de las oficinas. Por ejemplo, si los empleados utilizan portátiles corporativos para acceder a datos sensibles desde cualquier lugar, estos dispositivos deben incluirse en el alcance del SGSI. Aunque los portátiles se usen fuera de la red corporativa, siguen siendo un punto de acceso a la información sensible y, por lo tanto, deben ser considerados dentro del sistema de gestión de seguridad.

El Alcance del SGSI en el Proceso de Certificación

Si la organización decide certificar su SGSI bajo la norma ISO 27001, la definición del alcance toma aún más relevancia.

  • El auditor de certificación solo evaluará los elementos que estén dentro del alcance definido.
  • Cualquier sistema, departamento o proceso no incluido en el alcance no será verificado ni estará cubierto por la certificación.

Por ello, es fundamental que el alcance del SGSI esté bien delimitado y documentado, asegurando que todos los activos críticos para la seguridad de la información queden protegidos bajo el sistema de gestión.

En conclusión, la correcta definición del alcance del SGSI es un paso estratégico que impacta directamente en la efectividad de la norma y en el proceso de certificación. Una delimitación clara y precisa garantizará una implementación más eficaz y una mejor protección de los datos de la organización.

Los Requisitos de la Norma ISO 27001 Respecto al Alcance del SGSI

Para definir correctamente el alcance del Sistema de Gestión de Seguridad de la Información (SGSI), la norma ISO 27001 establece ciertos requisitos que deben ser considerados. Estos requisitos aseguran que el alcance esté alineado con los objetivos de la organización y cubra de manera efectiva los aspectos críticos de la seguridad de la información.

Elementos Clave para Definir el Alcance del SGSI según ISO 27001

1. Considerar los Problemas Internos y Externos (Cláusula 4.1)

La norma exige que, antes de definir el alcance, se realice un análisis del contexto de la organización. Esto implica identificar factores internos y externos que pueden influir en la seguridad de la información, tales como:

  • Factores internos: Infraestructura de TI, estructura organizativa, procesos internos, cultura de seguridad, recursos disponibles.
  • Factores externos: Regulaciones legales, requisitos contractuales, tendencias del mercado, amenazas emergentes.

2. Identificar las Partes Interesadas y sus Requisitos (Cláusula 4.2)

Es crucial identificar a las partes interesadas en la seguridad de la información y comprender sus expectativas. Entre ellas pueden estar:

  • Clientes y socios comerciales que exigen medidas de seguridad.
  • Reguladores que imponen requisitos legales.
  • Empleados y proveedores que manejan información sensible.

Este análisis permite delimitar mejor el alcance del SGSI y asegurar que se protejan los activos de información más relevantes.

Consejos Prácticos para Documentar el Alcance del SGSI

Para facilitar la auditoría de certificación y mejorar la claridad del alcance, se recomienda incluir información detallada sobre los activos y procesos cubiertos por el SGSI. Aunque la norma no lo exige explícitamente, los siguientes elementos pueden ser útiles:

  • Descripción de las instalaciones y ubicaciones: Incluir planos de planta para mostrar el perímetro físico cubierto por el SGSI.
  • Organización y unidades funcionales: Presentar organigramas que muestren qué departamentos están dentro del alcance.
  • Inventario de activos de información: Definir claramente qué datos, sistemas y dispositivos están protegidos.

Por ejemplo, si los empleados usan portátiles para acceder a información sensible desde fuera de la oficina, estos dispositivos deben incluirse en el alcance, ya que representan un punto de acceso a la red y a datos críticos.

¿Es Necesario un Documento Exclusivo para Definir el Alcance?

ISO 27001 no exige que el alcance esté documentado en un único documento separado. Puede integrarse dentro de la Política de Seguridad de la Información o en un documento específico de Alcance del SGSI, que haga referencia a otros documentos clave, como:

  • Análisis de contexto organizacional.
  • Identificación de partes interesadas.
  • Evaluación de riesgos y controles aplicables.

En conclusión, definir el alcance del SGSI de manera clara y estratégica es fundamental para una implementación efectiva de ISO 27001, asegurando que se protejan los activos más valiosos y que el sistema de seguridad se adapte a las necesidades reales de la organización.

Definición de Procesos y Departamentos Incluidos en el Alcance del SGSI

Uno de los aspectos fundamentales en la implementación de ISO 27001 es definir correctamente qué procesos de negocio y departamentos estarán dentro del alcance del Sistema de Gestión de Seguridad de la Información (SGSI).

Es importante destacar que no solo deben incluirse los procesos de seguridad o de TI, sino todos aquellos procesos de negocio que formen parte del alcance del SGSI, ya que la seguridad de la información abarca todas las áreas donde se manejen datos sensibles.

Identificación de Procesos y Departamentos en el SGSI

Si la empresa ya cuenta con un sistema de gestión de calidad basado en ISO 9001, es probable que ya tenga un mapa de procesos de la organización. Este mapa puede servir de referencia para determinar qué procesos estarán dentro del SGSI y cuáles quedarán fuera.

Para delimitar el alcance del SGSI, se recomienda:

  1. Dibujar los procesos clave del negocio que estarán incluidos en el SGSI.
  2. Distinguir los procesos que quedan fuera del alcance si fuera necesario.
  3. Definir las relaciones e interacciones entre los procesos y departamentos, identificando cómo fluye la información entre ellos.

Relaciones e Interfaces Entre Procesos y Departamentos

Para una correcta identificación del alcance del SGSI, es clave identificar las interacciones entre los procesos internos y externos de la organización. Para ello, se deben analizar las entradas y salidas de cada proceso.

Consejos Prácticos para Identificar Puntos Clave de Interacción

A la hora de definir los procesos dentro del alcance del SGSI, es recomendable considerar los siguientes aspectos:

1. Identificación de Puntos Finales de Control

En cualquier infraestructura de seguridad, existen puntos finales donde la organización pierde control sobre la información. Por ejemplo:

  • En una red corporativa, los routers suelen ser el punto final de control antes de que la información salga a redes externas.
  • En servicios en la nube, la frontera de control puede estar en la configuración de seguridad y en las políticas de acceso.

2. Definición de Interfaces de Alto Nivel

Las interfaces dentro del SGSI pueden analizarse desde tres dimensiones: Personas, Procesos y Tecnologías.

🔹 Personas

Es importante identificar los puntos de entrada y salida de información en función de los usuarios que interactúan con los sistemas. Algunos ejemplos incluyen:

  • Usuarios de software: empleados que acceden a plataformas internas.
  • Administradores de sistemas: responsables del mantenimiento de los sistemas.
  • Desarrolladores: acceso a entornos de prueba y producción.
  • Procesos de selección de personal: manejo de datos sensibles en Recursos Humanos.
  • Procesos de contratación: documentos legales con proveedores.
  • Definición de responsabilidades: control sobre quién tiene acceso a qué información.
🔹 Procesos

Cada proceso de negocio tiene puntos de entrada y salida de información que deben ser analizados. Ejemplos incluyen:

  • Procesos de soporte: manejo de tickets y resolución de incidencias.
  • Mantenimiento de software: actualizaciones y control de cambios.
  • Procesos de desarrollo: control de acceso a código fuente y entornos de prueba.
🔹 Tecnologías

Se deben considerar las tecnologías involucradas en los procesos dentro del alcance del SGSI. Algunos ejemplos de puntos clave incluyen:

  • Aplicaciones de software de escritorio (CRM, ERP, bases de datos).
  • Sistemas operativos (Windows, Linux, macOS).
  • Aplicaciones de comunicaciones (correo electrónico, FTP, VPNs).
  • Servicios en la nube (Google Drive, OneDrive, AWS, Azure).

Conclusión

Definir los procesos y departamentos incluidos en el alcance del SGSI es un paso crítico para garantizar una implementación efectiva de ISO 27001. No se trata solo de seguridad informática, sino de asegurar que toda la información relevante esté protegida en todos los procesos del negocio.

Un enfoque estructurado permitirá:

✅ Definir claramente qué procesos y departamentos estarán dentro del SGSI.
✅ Identificar puntos de entrada y salida de información en personas, procesos y tecnologías.
✅ Facilitar la auditoría y certificación, demostrando un alcance bien delimitado.

La seguridad de la información es una responsabilidad de toda la organización, y un SGSI bien definido protege los datos en todas las áreas del negocio, no solo en TI.

Recomendaciones para Definir el Alcance del SGSI

Al establecer el alcance del Sistema de Gestión de Seguridad de la Información (SGSI), es importante considerar el impacto de excluir ciertas áreas o procesos. Aunque pueda parecer una estrategia para simplificar la implementación, limitar el alcance del SGSI puede generar más complicaciones que beneficios.

¿Es recomendable limitar el alcance del SGSI?

En pequeñas y medianas empresas, dejar fuera del SGSI ciertos departamentos o procesos no siempre es la mejor opción, ya que esto puede generar dificultades adicionales, tales como:

  • Mayor complejidad en la gestión de flujos de información: Si un departamento queda fuera del alcance, será necesario controlar cómo interactúa con las áreas protegidas por el SGSI para evitar brechas de seguridad.
  • Separación de infraestructuras y accesos: Será necesario diferenciar los sistemas y accesos a la información, lo que puede generar costos adicionales y complicaciones técnicas.
  • El departamento excluido se considerará como una entidad externa: Desde el punto de vista de la auditoría y certificación, un área fuera del SGSI deberá tratarse como un proveedor externo, con todas las implicaciones que esto conlleva en términos de seguridad contractual y controles adicionales.

Ejemplo Práctico

Si una empresa decide excluir el departamento de Recursos Humanos (RRHH) del SGSI, se encontraría con los siguientes problemas:

  1. RRHH maneja información altamente sensible (datos personales de empleados, contratos, nóminas). Si queda fuera del SGSI, habría que implementar medidas adicionales para proteger esos datos y asegurar su cumplimiento normativo.
  2. Interacciones con otros departamentos: El departamento de TI y el de Finanzas pueden necesitar compartir información con RRHH, lo que requeriría controles adicionales para evitar riesgos.
  3. Dificultades en la certificación: Un auditor puede considerar riesgoso que un área crítica quede fuera del SGSI, dificultando el proceso de certificación.

Selección de Controles y Alcance del SGSI

Otra tarea fundamental en la implementación de ISO 27001 es la selección de los controles de seguridad adecuados. Sin embargo, la exclusión de un control específico no sigue la misma lógica que la exclusión del alcance del SGSI.

¿Cuándo se puede excluir un control de seguridad?

La selección de controles aplicables depende únicamente de dos factores:

  1. Evaluación de riesgos: Si un análisis de riesgos determina que un control es necesario para mitigar una amenaza, este control no puede ser excluido.
  2. Requisitos normativos o contractuales: Si un cliente, socio comercial o regulador exige la implementación de un control, debe aplicarse sin excepción.

En otras palabras, si un riesgo o una regulación requiere un control de seguridad, no es posible descartarlo. La única forma de justificar la no aplicación de un control es demostrar que no existe un riesgo real que lo haga necesario.

Conclusión

🔹 No siempre es recomendable limitar el alcance del SGSI, ya que puede generar más esfuerzo y dificultades en la gestión de la seguridad. En pequeñas y medianas empresas, suele ser más eficiente incluir todos los departamentos y procesos en el SGSI.

🔹 La selección de controles no sigue la misma lógica que la definición del alcance. Un control solo puede excluirse si la evaluación de riesgos o los requisitos normativos demuestran que no es necesario.

🔹 Para una implementación efectiva de ISO 27001, es clave definir correctamente el alcance del SGSI y seleccionar los controles adecuados, asegurando que la seguridad de la información se gestione de manera integral y eficiente.

Beneficios de Definir el Alcance del SGSI

Definir correctamente el alcance del Sistema de Gestión de Seguridad de la Información (SGSI) tiene un impacto directo en los costos, la eficiencia y la efectividad del sistema. Dependiendo de cómo se establezca el alcance, el SGSI puede reducir o aumentar los recursos necesarios para su implementación y mantenimiento.

Optimización de Recursos y Costos

Un SGSI bien delimitado puede ayudar a optimizar los costos iniciales y operativos al centrarse en las áreas más críticas para la seguridad de la información. Por ejemplo:

  • Si un SGSI se implementa en una sola ubicación, puede resultar más económico y sencillo de gestionar en comparación con su despliegue en múltiples sedes.
  • Sin embargo, si la empresa comparte redes y recursos en todas sus ubicaciones, una implementación parcial podría generar complicaciones y costos adicionales para separar la infraestructura y controlar los flujos de información.

La clave está en realizar un análisis detallado para determinar si un alcance limitado es viable o si, por el contrario, resultaría más eficiente incluir toda la organización dentro del SGSI.

Impacto de un Alcance Limitado

Cuando el SGSI no cubre toda la empresa, los activos y procesos fuera del alcance deben tratarse como si fueran proveedores externos. Esto implica:

  • Definir controles adicionales para gestionar la interacción entre los sistemas cubiertos por el SGSI y los que quedan fuera.
  • Asegurar que los departamentos excluidos cumplan con requisitos mínimos de seguridad, ya que podrían representar un punto débil en la protección de la información.
  • Evitar que la segmentación genere vulnerabilidades que puedan ser explotadas por atacantes o generar problemas de cumplimiento normativo.

Por ello, en muchas ocasiones limitar el alcance del SGSI puede ser más complejo que incluir a toda la organización desde el inicio.

Recomendación para una Implementación Eficiente

🔹 Identificar primero las necesidades de la organización en cuanto a seguridad de la información y cumplimiento normativo.

🔹 Definir qué personas, procesos, sistemas y datos deben incluirse en el alcance del SGSI para maximizar su efectividad.

🔹 Evaluar cuidadosamente los riesgos y costos de dejar fuera ciertos activos antes de tomar una decisión sobre la delimitación del SGSI.

En conclusión, un alcance bien definido permite que el SGSI aporte el mayor beneficio posible, optimizando recursos y garantizando la protección de los activos de información más importantes de la organización.

No te detengas, sigue avanzando

Aprende con nuestros más de 100 cursos que tenemos disponibles para vos

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Sobre la autora

Romina Orlando

Con más de 20 años de experiencia en liderazgo, gestión financiera y empresarial. Brindo Educación y Consultoría a profesionales, bancos y empresas. Puedes seguirme en mis redes:

Compartimos estos recursos para ayudar a la comunidad. COMPARTE y Siéntete libre de agregar más sugerencias en los comentarios a continuación, respondemos todos y cada uno de los comentarios.