Las empresas implementan sistemas integrados de gestión de seguridad (SGSI) para lograr niveles de seguridad suficientes para proteger los datos confidenciales de la empresa. Sin embargo, el alcance del SGSI siempre dependerá de la madurez de la empresa en materia de seguridad de la información y de otros factores cuyos impactos debemos comprender y medir antes de comenzar la implementación.

Como expertos en gestión y sistemas de seguridad de TI, tenemos planes para facilitar este proceso y, por lo tanto, llevar el SGSI a niveles más ambiciosos (u óptimos), más allá de lo suficiente. Comencemos juntos este proceso.

Alcanzar el SGSI: El principio

El alcance del SGSI comienza con la sistematización de la documentación que rige a la organización. Este proceso se conoce como identificación de elementos críticos para proteger. En otras palabras, comenzamos el proceso sabiendo qué información confidencial estará protegida en el ámbito del SGSI y la separamos de los datos que permanecerán en el dominio público.

Luego, con esta única acción, comenzamos automáticamente a analizar el ISMS. Sin embargo, no es ni mucho menos el primer paso de una serie de medidas más amplias que debemos observar. Llegados a este punto, hacemos un pequeño paréntesis para explicarlas un poco.

Con el fin de resumir y ordenar tal cantidad de detalles, se han creado muchos estándares para la aplicación de las mejores prácticas dedicadas a prevenir la filtración de datos. Sin embargo, dado que goza de una sólida credibilidad, aceptación y respeto a nivel mundial, tomaremos la norma ISO 27001 como marco para analizar el alcance del SGSI.

Por lo tanto, en su cláusula 4.1, la norma ISO 27001 establece expresamente que debe sopesar tanto factores internos y externos al analizar el ISMS. Todos ellos están relacionados con la organización y el modelo de negocio.

En particular, el alcance del SGSI exige enumerar e incorporar detalles de los activos vinculados a la información crítica, como el tipo de dispositivo que contiene los datos, la ubicación física, las unidades organizativas y las actividades o procesos de mayor importancia en el esquema organizacional. Vamos a detallarlos.

Alcance del SGSI: elementos internos

Por un lado, los elementos internos son aquellos relacionados con el desempeño de la organización.

Moldean y controlan sus actividades diarias. En este sentido, el grupo de elementos protegidos bajo la etiqueta de elementos internos son:

• Misión, visión y objetivos
• Gobernanza y estructura organizacional
• Niveles de madurez de los procesos
• Planes estratégicos
• Secretos profesionales
• Datos personales de los empleados
• Datos financieros y similares

Alcance del SGSI: elementos externos

Por otro lado, los elementos externos son aquellos que están fuera del control de la empresa. Entre ellos nombramos:

• El mercado local y la competencia
• Prácticas de la industria
• Leyes locales e internacionales
• Entorno político y financiero

Una vez que identificamos de forma clara y precisa todos estos elementos, conocemos en profundidad las características particulares de la empresa y el entorno en el que trabaja. Solo después de este paso, determinamos sus objetivos en términos de seguridad.

Alcance del SGSI: la implementación

Tras analizar el ISMS, pasamos a la fase de establecimiento de récords que aborda la seguridad digital de la empresa.

En este sentido, configuración de grabación son precisamente los que lideran los procesos de mejora. A la vez que marcan un hito en términos de seguridad, también establecen los términos que deben corregirse. Es decir, todo el mundo comete errores y es posible que se hayan cometido errores o inexactitudes durante la fase de identificación y recopilación de los elementos críticos.

Además, también permiten corregir las desviaciones en las acciones tomadas para proteger los datos sensibles de la empresa, ya sea por exceso o por defecto.

En otras palabras, la configuración de los registros resaltará todas las precisiones, excesos y deficiencias operativas de nuestros Sistemas Integrados de Gestión de la Seguridad y, como tal, nos indicará el camino para establecer acciones correctivas que garanticen la mejora continua.

Alcance del SGSI: consideraciones finales

Como toda creación del hombre, analizar el ISMS por sí solo es un proceso imperfecto. Además, las políticas y los objetivos siempre cambian y nuestras empresas siempre deben estar preparadas para cumplirlos. En otras palabras, si queremos mantenernos al día con los cambios, necesitamos revisar periódicamente la configuración de nuestros registros y los elementos y políticas externos e internos para actualizar el alcance de nuestro SGSI.

Además, debemos ajustarlos a los resultados de las auditorías de seguridad, las mediciones, los incidentes, las sugerencias y las observaciones de todas las partes involucradas. En resumen, siempre debemos tener en cuenta que el alcance del SGSI dista mucho de limitarse a valores fijos que terminan con la implantación, la puesta en marcha y la posterior certificación, sino que debe mejorarse continuamente.

Reiteramos: como expertos en gestión de la seguridad y sistemas de TI, tenemos planes que le facilitan el proceso. Mejore el proceso de ampliar el alcance del SGSI a niveles más ambiciosos y óptimos, más allá de lo suficiente. Póngase en contacto con nosotros aquí para ayudarle a empezar ahora.