Como definir el Alcance de un SGSI.
1. Identificar lo que necesita ser protegido.
Una de las primeras preguntas que debemos hacer es «¿Qué necesita protección?
En primer lugar hay que determinar que activos de información deben protegerse para apoyar a la organización en el logro de sus objetivos comerciales.
Para establecer los activos que realmente vale la pena proteger, la organización debe justificar por qué cada activo requiere protección mediante un inventario de activos. El análisis y evaluación del riesgo de cada activo determinarán su inclusión en el alcance del SGSI.
Nota: Una vez definidos los procesos y las actividades incluidas en el alcance y para que el alcance sea completamente claro, especialmente para terceros, resulta útil identificar lo que no está en el alcance (por ejemplo, las actividades del departamento de recursos humanos)
De cualquier manera, el alcance debe definir claramente lo que se está incluyendo, en función de los objetivos comerciales y los activos de información que se protegerán, y debe quedar claro que todo lo demás está fuera del alcance.
2. Comprenda la organización.
Cuando el alcance de un SGSI se define por la necesidad de proteger un activo en particular es importante entender primero los componentes del sistema y la estructura involucrada en la entrega de los servicios relevantes.
Esto puede incluir, por ejemplo, obtener diagramas de sistema que muestren los almacenamientos y flujos de datos y los sistemas de TI relevantes. El personal involucrado en la administración y entrega de todos los componentes del sistema probablemente será considerado «dentro del alcance».
3. Asegurar el apoyo al alcance del SGSI.
El alcance de un SGSI, política, proyecto o auditoría, etc. debe ser respaldado y acordado formalmente por las principales partes interesadas relevantes.
Si no se identifica correctamente y se acepta formalmente el alcance seguramente tendremos dificultades para realizar el plan de implantación del SGSI.
Para quienes manejan la seguridad de la información, es importante considerar los límites del control y la autoridad.
Nota: Si se da el caso de que la seguridad de los servicios o sistemas en un departamento particular está fuera del control o la autoridad de los propietarios del SGSI, no deberían incluirse en el alcance. En el contexto de una auditoría, se hace imprescindible acordar qué sistemas están en el alcance ya que hay que garantizar a qué sistemas el auditor está autorizado a acceder y en qué circunstancias. En caso contrario podemos tener problemas incluso legales.
4. Monitorear y revisar.
El alcance de un SGSI no es estático y puede evolucionar con el tiempo a medida que se desarrollan las circunstancias, las amenazas, las tecnologías y los requisitos. Por lo tanto, el alcance no es algo que deba hacerse una vez al comienzo de un proyecto y luego se lo olvide.
El alcance del SGSI debe ser revisado a intervalos regulares o cuando haya cambios significativos estableciendo para ello dependencias de tiempo en el proyecto de seguridad que debería ser aplicable para un período de tiempo particular.
Motivos para revisar el alcance del SGSI:
- Cambios en el entorno regulatorio.
- Actualizaciones a estándares o en requisitos de terceros.
- Cambio en la organización (por ejemplo, cambios en la estructura de la organización).
- No conformidades o incidentes que indiquen alcance incorrecto.
- Madurez general del SGSI (el alcance puede aumentar con el tiempo).
- Cambio en los procesos y las prácticas (por ejemplo, el cese de ciertas actividades).
- Cambios en la externalización de servicios.