Alcance del SGSI: cómo definirlo correctamente

La definición del alcance del SGSI es una de las decisiones más importantes del proyecto de implementación de ISO 27001. Un alcance mal definido puede hacer que el proyecto sea imposible de gestionar o que la certificación no tenga valor comercial. La cláusula 4.3 de ISO 27001:2022 establece los requisitos para esta definición.

¿Qué es el alcance del SGSI?

El alcance delimita qué está incluido y qué está excluido del Sistema de Gestión de Seguridad de la Información. Define los límites dentro de los cuales el SGSI opera y dentro de los cuales la certificación ISO 27001 es válida.

Cuando un cliente o socio comercial verifica que tu organización está certificada en ISO 27001, el certificado indica el alcance. Si el alcance excluye el área que les interesa, la certificación no les proporciona la garantía que buscan.

Los tres tipos de límites del alcance

Límites físicos

¿Qué instalaciones están incluidas? Puede ser una sede específica, múltiples sedes, o instalaciones de terceros donde se procesa información de la organización.

Límites lógicos

¿Qué sistemas de información, aplicaciones, bases de datos y plataformas están incluidos? Esto incluye sistemas propios, sistemas en la nube y sistemas de proveedores que procesan información de la organización dentro del alcance.

Límites organizacionales

¿Qué unidades de negocio, departamentos o funciones están incluidas? ¿Se incluye toda la empresa o solo ciertas líneas de negocio o procesos?

Qué dice la cláusula 4.3

La cláusula 4.3 exige que al determinar el alcance se consideren:

• Las cuestiones externas e internas identificadas en la cláusula 4.1 (contexto)
• Los requisitos de las partes interesadas identificados en la cláusula 4.2
• Las interfaces y dependencias entre las actividades de la organización y las realizadas por otras organizaciones

El alcance debe estar disponible como información documentada.

Cómo definir el alcance paso a paso

Paso 1: Identifica los activos de información críticos

¿Qué información es más valiosa para tu organización? ¿Qué datos, si se comprometieran, tendrían el mayor impacto en el negocio? Los procesos que generan, almacenan o transmiten esa información son los candidatos principales para estar en el alcance.

Paso 2: Considera los requisitos de clientes y contratos

Si la motivación principal para certificarse es cumplir un requisito contractual, asegúrate de que el alcance cubra exactamente lo que el cliente necesita. Revisar el contrato o los pliegos de la licitación es fundamental.

Paso 3: Evalúa la complejidad de implementación

Un alcance más amplio implica más trabajo y más costo. Evalúa realísticamente cuántos sistemas, procesos y personas puedes gestionar bien dentro del SGSI. Es mejor certificarse con un alcance pequeño bien gestionado que con un alcance amplio gestionado deficientemente.

Paso 4: Documenta las exclusiones y sus justificaciones

Cuando excluyas algo del alcance, debes poder justificar que la exclusión no afecta la capacidad de la organización para gestionar la seguridad de la información dentro del alcance incluido. No puedes excluir un sistema crítico que procesa datos del alcance solo para simplificar la implementación si ese sistema afecta la seguridad del resto.

Errores comunes al definir el alcance

Alcance demasiado amplio

Incluir toda la empresa en el alcance de la primera certificación es tentador pero peligroso. Significa que todos los controles deben implementarse en todos los sistemas y procesos, la auditoría de certificación tomará más días y costará más, y cualquier brecha en cualquier área puede resultar en una no conformidad.

Alcance que no refleja la realidad

Definir un alcance que excluye sistemas que en la práctica procesan información del alcance es un error grave. Por ejemplo, si el alcance incluye el proceso de ventas pero excluye el CRM donde se registran todas las ventas, el alcance no refleja la realidad.

Alcance cambiante durante el proyecto

Cambiar el alcance a mitad del proyecto es muy costoso. Requiere revisar la evaluación de riesgos, la SoA, los controles implementados y la documentación. Dedica tiempo suficiente a la definición inicial del alcance antes de comenzar la implementación.

Interfaz entre dentro y fuera del alcance no gestionada

Cuando parte de la organización está dentro del alcance y parte fuera, debes gestionar cuidadosamente las interfaces. La información que fluye entre el área incluida y el área excluida necesita controles en la frontera.

Cómo redactar la declaración de alcance

La declaración de alcance debe ser clara y específica. Un ejemplo para una empresa de desarrollo de software:

"El SGSI de [Nombre de la empresa] cubre el desarrollo, pruebas y entrega de software para clientes externos, incluyendo los sistemas de gestión de código fuente, entornos de desarrollo y prueba, plataforma de gestión de proyectos, y la infraestructura tecnológica de soporte ubicada en las instalaciones de Santiago de Chile y los servicios en la nube utilizados para estas actividades."

El alcance en el certificado

El texto del alcance que aparecerá en el certificado ISO 27001 es negociado con el organismo de certificación. Debe ser preciso pero legible para terceros. Evita alcances vagos como "toda la operación de TI" o excesivamente técnicos que solo entenderían los auditores.

Profundiza en el contexto del SGSI con las guías sobre cláusulas obligatorias de ISO 27001, cronograma de implementación y errores comunes.