17 octubre 2006

Definiendo el alcance del SGSI

Uno de los pasos más importantes a la hora de implementar un SGSI es definir adecuadamente el alcance. ¿Qué ámbito debe cubrir? Suele ser un tema complicado de decidir, principalmente porque un alcance global, que cubra toda la organización, no suele ser ni la opción más eficiente ni la más eficaz. Tenemos que pensar que la implantación de un SGSI es un proyecto de gran calado, con repercusiones transversales a todo el alcance que definamos, y cuyas raíces deberían llegar hasta la cultura de la organización. Por tanto, la mejor opción siempre será diseñar un SGSI para un alcance más reducido, optimizando recursos y resultados, que más adelante ya ampliaremos, cuando la filosofía de gestión de la seguridad haya calado y los controles implementados se puedan extender progresivamente.

Por tanto, una vez que hemos decidido que el alcance sea parcial... ¿Qué procesos, divisiones o departamentos debe cubrir? Se trata de identificar aquella parte de la organización en la que la seguridad puede aportar un mayor valor añadido. Pero... ¿Qué filosofía podemos seguir para identificar ese valor añadido? Aquí cito algunas de ellas:
  • Aumentar el valor de un servicio "seguro": Esta filosofía supone implementar un SGSI para potenciar un servicio que ya incorpora funciones de seguridad, en el que un SGSI va a aportar beneficios directos. Es una opción evidente, con el inconveniente es que sólo es aplicable para aquellos servicios en los que la seguridad es un valor intrínseco al mismo.
  • Potenciar un servicio final: Esta opción supone la implantación de un SGSI ligado a los servicios y/o procesos de negocio. De esta forma, se da un valor añadido a los mismos, bañándolos de una capa de seguridad adicional. Es una filosofía muy válida en aquellos entornos en los que se quiera sacar provecho de una certificación, ya que la seguridad repercute directamente en los clientes.
  • Reforzar los servicios y procesos internos: Esta filosofía pretende implantar el SGSI para fortalecer determinados servicios y procesos internos, en los que una mejora en la seguridad pueda suponer una ventaja para la organización. En general, se suele traducir en la implementación del SGSI en el área de IT, por ser uno de los principales responsables del tratamiento y conservación de la información de la compañía, o en áreas en las que se maneja información de especial relevancia, como podrían ser las áreas de I+D+i (prototipos, diseños, etc), recursos humanos (datos de caracter personal) o financiero (datos económicos).
  • Potenciar la gestión interna: Por último, otra de las filosofías que a veces se utiliza para decidir el alcance es identificar aquellas partes de la organización en las que la implantación del SGSI, como sistema de gestión, sirva para potenciar y estructurar la gestión interna. Es quizás una de las filosofías más discutibles, ya que existen multitud de sistemas de gestión centrados en distintos aspectos y quizás el de la seguridad pueda no ser el más indicado en todos los casos, pero en determinadas situaciones puede ser una opción.

Seguro que a todos se nos pueden ocurrir más filosofías para decidir la implantación de un SGSI en una u otra parte de la organización, pero desde mi punto de vista estas son las principales. Ahora, es suficiente con identificar cuál encaja mejor con nuestra organización, y utilizarla para identificar el mejor ámbito para implantar nuestro SGSI. Suerte en el intento...

8 comentarios:

Anónimo dijo...

En primer lugar, enhorabuena por tu blog!! Me parece muy interesante.
Como estoy empezando en este mundo de los SGSIs, te agradecería que me dieras tu opinión sobre lo siguiente:
-------------------------
En el caso de una PIME dedicada a instalación y mantenimiento de estaciones de trabajo/servidores formada por 1 gerente y 3 trabajadores (2 técnicos + 1 administrativo/comercial) y que quisiera implantar un SGSI, ¿sería planteable establecer un alcance completo o me aconsejas empezar por uno parcial?
En este caso la filosofía más adecuada, ¿crees que puede ser la de potenciar un servicio final?
------------------------------
Gracias por anticipado y saludos

Joseba Enjuto dijo...

Buenas.

En este caso, creo que la pregunta es si esta PYME realmente necesita un SGSI. Con solo 4 personas, es posible que el esfuerzo en gestión que requiere un SGSI, si no se optimiza al máximo, pueda terminar quitando tiempo al trabajo más directamente relacionado con el negocio. ¿Realmente merece la pena? A partir de ahí, cualquier alcance que realmente repercuta en el negocio puede ser viable... siempre que en la práctica tenga sentido formularlo.

Anónimo dijo...

Entonces, en un caso como el de la PYME que se ha planteado, ¿qué metodología/pasos seguirías para garantizar que la información se trata y protege de forma adecuada en la empresa y en las relaciones con clientes y proveedores?

Joseba Enjuto dijo...

Sencillamente, ir al grano. Establecer medidas concretas de seguridad en relación a la información de los clientes que se almacena (control de acceso, cifrado, backup, ...), establecer protocolos de manejo seguro de esa información (procedimientos y formación asociada) y hacer un pequeño esfuerzo en regular las cláusulas contractuales de intercambio y tratamiento de esa información por parte de terceros, si es preciso. Dejar un poco de lado la gestión, o al menos su parte más burocrática, y centrarme en soluciones específicas de seguridad. En resumen, quick-Wins.

Anónimo dijo...

Yo también quiero darte las gracias por tu blog. Estoy implantando un SGSI junto con la norma iso 9001 y el alcance afecta solo a una parte de la organización. En principio vale con definirlo como : afecta a todas las actividades desarrolladas para llevar a cabo..... ????

Joseba Enjuto dijo...

A mí me parece una buena definición... De todas formas, si tienes la intención de certificar ese alcance no hace falta que te preocupes demasiado por el enunciado del mismo (sí por tenerlo claro, obviamente), ya que las entidades de certificación son bastante exigentes al respecto y todas tienen sus propias "manías"... hasta el punto de que puede que te lo reescriban de cara a la certificación.

Unknown dijo...

buenas tardes, felicidades por el Blog que esta muy interesante, tengo una duda, a que se refiere "las responsabilidades de los activos de información dentro del alcance y fuera del alcance" . no me queda muy claro

Joseba Enjuto dijo...

Buenas tardes, Ronald,

No me queda claro el contexto de tu pregunta (no he sido capaz de localizar el término en el post), pero aun así intento contestarla.

Delimitar el alcance de un SGSI requiere deliminar las actividades (procesos o servicios) que quedan enmarcadas dentro del alcance y, a partir de ahí, todos los recursos que intervienen en dichas actividades (sistemas, personas, información, etc). Todos esos activos (tanto los que acabo de denominar "recursos" como las propias "actividades" lo son) deben tener un responsable, y esa lista de activos y responsables que están dentro del alcance debe quedar totalmente clara. Y por tanto, también los activos que quedan fuera del alcance, por exclusión.

Espero haberlo aclarado.


Saludos,


Joseba