Requisito 27001 de ISO 4.3: Determinación del alcance del SGSI

Cómo establecer el alcance del SGSI

Será mucho más lógico considerar la actividad dentro del alcance una vez que haya completado el trabajo para 4.1 y 4.2. Probablemente considerará la organización, subsidiarias, divisiones, departamentos, productos, servicios, ubicaciones físicas, trabajadores móviles, geografías, sistemas y procesos para su alcance, ya que el trabajo de aseguramiento de la información y evaluación de riesgos seguirá aquellas partes de su organización que necesitan para ser protegido.

Recuerde pensar también en lo que esperarán las partes interesadas y poderosas. Si considerara dejar alguna parte de la organización fuera del alcance, ¿cuál sería el impacto para esas poderosas partes interesadas? ¿Tendría también que ejecutar varios sistemas y terminar confundiendo al personal acerca de lo que estaba dentro y fuera del alcance en la forma en que trabajaban?

¿Qué partes de la empresa necesitan crear, acceder o procesar los activos de información que usted considera valiosos? Es casi seguro que estas deberían estar dentro de su alcance si las presiones fueran impulsadas externamente por los clientes para satisfacer sus necesidades de aseguramiento de la información. Por ejemplo, podría centrarse en el desarrollo y la entrega de su producto, pero aún así tendría que observar a las personas, los procesos, etc., también a su alrededor. Piense también en lo que puede y no puede controlar o influir.

Podría llevar unos minutos de esfuerzo realizar este trabajo o podría llevar mucho más tiempo en una empresa más grande donde puede ser un desafío político y práctico determinar un alcance controlable. Los organismos de certificación ISO como UKAS también están avanzando hacia el alcance de "toda la organización" y los clientes poderosos en general también esperarán eso.

Cómo documentar 'fuera de alcance'

También debe tener en cuenta cuidadosamente las áreas 'fuera del alcance' del SGSI, junto con las interfaces clave y las dependencias entre las actividades realizadas por la organización y aquellas realizadas por otras organizaciones. En un nivel simplista, imaginemos que usted es un desarrollador de software y depende de la subcontratación del centro de datos para alojar el servicio a los clientes.

Probablemente aclararía que el alcance de su 4.3 es dentro de su organización para las personas y el software en sí, pero pondría los límites y actividades del centro de datos fuera de su alcance controlado; después de todo, esperaría que también mantuvieran sus propios SGSI de confianza.

Es lo mismo para la propiedad física: si se depende de un propietario para cierto trabajo (por ejemplo, carga, barreras y control de recepción) que podría formar un límite donde la seguridad de la ubicación física en sí está fuera del alcance de su control y usted trabaje su actividad SGSI dentro de esa propiedad. Sin embargo, aún se esperaría que usted administre al proveedor como parte de sus políticas de proveedores en el Anexo A 15 y se asegure de que sus prácticas al menos cumplan con los requisitos de su SGSI y su apetito de riesgo, pero eso será para otro momento.

Otros puntos a considerar

• Sobre la base del punto anterior, si dejara partes fuera del alcance, ¿cuál sería el impacto para el personal? ¿Parte de su trabajo estaría dentro del alcance y otra fuera del alcance? De ser así, ¿existen riesgos y complicaciones adicionales que podrían confundir las prácticas (por ejemplo), no proteger el trabajo y causar más amenazas al seguir dos enfoques diferentes?
• ¿Existen oportunidades para describir las cosas de manera diferente, por ejemplo, tratar algunas oficinas satélite como trabajadores tele/remotos, no como locales físicos o ubicaciones dentro del alcance?
• Simplificar o restringir el alcance desde el principio podría tener sentido si se pueden segmentar eficazmente los límites de la información y demostrar que se están abordando los riesgos. Sin embargo, si tiene el objetivo de agregar algo más adelante, tenga en cuenta que un cambio material en el alcance podría desencadenar la necesidad de otra auditoría, dependiendo de qué, cuándo, cómo y si está impulsado por objetivos internos o presiones externas.