ISO 27001:2013, ¿cómo definir el alcance del Sistema de Gestión de Seguridad de la Información?

ISO 27001

En la norma ISO 27001 hay una cláusula que establece claramente el alcance del SGSI de la organización, en concreto nos referimos al apartado 4.3 Determinación del alcance del sistema de gestión.

Cuando se determina el alcance del Sistema de Gestión de Seguridad de la Información, hay que tener en cuenta los riesgos externos producidos como por ejemplo, desastres naturales, ciberataques por parte de hackers y/o empresas subcontratadas.

Es posible que la organización valore añadir en el alcance del Sistema de Gestión de Seguridad de la Información, departamentos que antes no se contemplaban. El paso a la actual versión de la norma ISO 27001:2013 origina una nueva ocasión para reestablecer dicho alcance y así garantizar que el sistema en cuestión cumple con lo dispuesto en la norma.

Muchas empresas establecen objetivos a todos los niveles de la organización simplemente para mejorar la imagen y obtener un reconocimiento. El establecimiento de un Sistema de Gestión de Seguridad de la Información o SGSI debe llevarse a cabo con la intención de demostrar que la empresa verdaderamente cumple los requisitos de la norma con el objetivo de mejorar.

Para cumplir con la cláusula apartado 4.3 Determinación del alcance del sistema de gestión, la organización deberá establecer objetivos, determinar responsabilidades y fechas para alcanzar las metas propuestas.

Declaración de aplicabilidad

En la última versión de la ISO-27001, el Anexo A también se ha actualizado y en este documento quedan definidos los nuevos controles considerados en la norma.

Las compañías no están obligadas a elegir los controles del Anexo A, pero sí a elaborar una declaración de aplicabilidad. La declaración de aplicabilidad puede seguir el mismo formato que el empleado en la versión anterior.

Entre los controles, se pide que las organizaciones actualicen la declaración de aplicabilidad teniendo en cuenta que el control de aplicación debe estar alineado al texto que encontramos en el Anexo A.

Partes interesadas o Stakeholders

Definir la función de las partes interesadas o stakeholders es una de las tareas de la organización, tienen un papel clave en el Sistema de Gestión de Seguridad de la Información.

Las organizaciones normalmente son conscientes de esta información, por lo que deberían de documentarla para que quede constancia y así hacer uso de ella para cumplir por ejemplo, con otros apartados de la norma ISO27001.

Integración

Los requisitos del Sistema de Gestión de Seguridad de la Información estarán fusionados con los procesos de negocio de la organización. Los procesos de una organización se representa como uno o varios diagramas de flujo, en este caso las actividades se relacionan con los requerimientos del SGSI.

Si estos requerimientos del Sistema de Gestión de Seguridad de la Información definidos por la ISO 27001 quedan establecidos en un único flujo de trabajo, se puede decir que la integración no se ha logrado.

La creación de diagramas de flujo hace posible que de un vistazo rápido se compruebe si se cumple con la integración, si esto no es así, se puede emplear el flujo de trabajo para determinar un camino que permita cumplir con el objetivo.

¿Qué debería considerarse para definir el alcande de un SGSI?

Click To Tweet

Comunicación

En la norma ISO 27001:2013 el apartado 7.4 Comunicación, establece unos requisitos de carácter más específico que los que encontrábamos en la versión anterior. Estos nuevos requerimientos están establecidos según un pauta común, logrando que los requisitos relacionados con la comunicación se pueden cumplir con éxito.

Cuestiones clave

Los aspectos citados en el apartado 4.1 Conocimiento de la organización y de su contexto deben ser conocidos por todos los integrantes de la organización.

La motivación por implantar un Sistema de Gestión de Seguridad de la Información o SGSI puede ser un tema muy importante, hay que intentar que esta motivación se prolongue a lo largo del tiempo.

No todo el personal de la organización cuenta con la capacidad y los conocimientos necesarios para elaborar una Política de Seguridad de la Información, por lo que es importante que sea elaborada por un experto que conozca en profundidad a la organización.

El compromiso por la dirección y la motivación del personal son otras de las cuestiones a tratar por la empresa ya que están relacionadas con el SGSI basado en la ISO 27001.

La organización hará uso de reuniones para exponer todos los temas de valor a tratar, será importante que las acciones preventivas que se vayan a implantar se registren.

Periódicamente se revisarán los procedimientos ejecutados en la organización, si fuese necesario se modificaran o incluso es posible sustituirlas por unas nuevas con el objetivo de cumplir los requisitos de la norma ISO 27001.

Software para SGSI

Para lograr salvaguardar la integridad, confidencialidad y accesibilidad de la información, además de conseguir que la implementación y mantenimiento del Sistema de Gestión de la Calidad sea un éxito las organizaciones pueden recurrir al Software ISO de ISOTools.