👉 Esta actividad te ayuda a cumplir el siguiente requisito:
ISO 27001 en su versión 2013: 4.3
ISO 27001 en su versión 2022: 4.3, 4.4
T U T O R I A L
Si lo deseas, puedes ver nuestros vídeos con velocidad de 1.2x 🤓
L E C T U R A
¡Consideraciones importantes!
💯 Es muy importante que este enunciado lo establezcan la alta dirección en conjunto con el comité de seguridad o encargado del proyecto asignado, asegurando que dicha persona cuente con el conocimiento y experiencia suficiente sobre la empresa, sus procesos y sus necesidades de seguridad para definirlo correctamente.
🤝 El enunciado formal debe ser aprobado principalmente por la alta dirección pues será el texto que aparecerá en el certificado final emitido por la entidad de certificación, y cargado en los registros de la organización internacional de estandarización (ISO). Esta información será pública y accesible por cualquier otra organización o parte interesada que realice una solicitud formal con propósitos de verificación.
⭐ Este enunciado puede ampliarse cuando tu empresa se esté recertificando, o si en algún momento deseas certificarte en alguna extensión de la misma ISO 27001 u otra ISO, para que cubra todos los aspectos aplicables a tu empresa, pero también recuerda que debe estar alineado a la estrategia del negocio, de manera que pueda ser fácil de implementar y mantener.
¡No te preocupes por abarcar todo en una primera certificación! Cuando tu SGSI ya se encuentre maduro e implementado, te será mucho más fácil ampliarlo si es necesario.
¿Para qué me sirve esta actividad? 📚
Esta actividad es la primera del plan de acción de Hackmetrix y es esencial para que tu proyecto de implementación y certificación sea exitoso. Te permite sentar las bases de tu SGSI al identificar y limitar las áreas y procesos a los que deseas aplicar los controles de seguridad.
¿Qué tengo que hacer? 🚀
Para definir y delimitar correctamente el alcance, te recomendamos partir identificando por qué se busca la certificación, es decir cuál es el motivante. Esto te ayudará a comprender mejor los objetivos y cómo los vas a lograr.
Los motivos por los que una empresa desea certificarse suelen ser los siguientes:
Por cumplimiento legal para alinearse a las regulaciones de los países donde operan.
Por cumplimiento contractual con clientes y/o proveedores.
Para aumentar la competitividad de la empresa en el mercado.
Por solicitud de inversionistas u otra parte interesada.
Una vez que se conozca y entienda el motivante principal te será mucho más sencillo definir el enunciado de alcance, el cual se documenta como un breve párrafo dónde se indican las áreas, procesos, productos y/o servicios que serán alcanzados por tu SGSI.
Para generar este enunciado debes poder responder las siguientes preguntas:
¿Qué es lo que el SGSI está buscando proteger?
Aquí debes analizar los activos de información involucrados, como pueden ser por ejemplo los activos de la organización, los activos de clientes, ambos, los activos de partes interesadas, etcétera.
¿A qué áreas de la organización aplicará el SGSI?
Es decir qué departamentos o áreas funcionales serán alcanzados por la implementación de SGSI, puede ser por ejemplo el área de Tecnología, Operaciones, Finanzas, Atención al cliente, etcétera.
¿A qué procesos, productos y/o servicios aplicará el SGSI (es decir aquellos que deseas certificar)?
Dependiendo del motivante por el cual deseas certificarte, la respuesta a esta pregunta puede variar, pero te recomendamos identificar los procesos, productos y/o servicios principales del negocio, aquellos que son críticos para tus operaciones, o si deseas certificarte por solicitud de clientes o partes interesadas, serán aquellos que estén involucrados con dichas partes.
Algunos ejemplos pueden ser los procesos de Desarrollo, procesos de Soporte y atención al cliente, los servicios ofrecidos por la organización, etcétera.
Importante: Estos procesos, productos y/o servicios a certificar deben estar documentados de forma que todos los involucrados sepan cómo se ejecuta, cómo se usa, cómo se produce, etcétera. Para esto puedes utilizar el formato de procedimiento que utiliza Hackmetrix en las plantillas que te proporcionamos.
💡 Para más información sobre cómo documentar tus procesos, te recomendamos leer los FAQs de esta actividad.
¿Cuáles son los procesos que tienen dependencia o interferencia con los procesos, productos y/o servicios a certificar?
Es decir aquellos que, aunque no se encuentren en el centro de tu programa de seguridad, tienen alguna interacción con los procesos, productos y/o servicios que deseas certificar, y que por ende, pueden ser alcanzados por tu SGSI, como por ejemplo procesos de Marketing, procesos de selección y contratación de personal, etcétera.
💡 Para más información sobre cómo documentar tus procesos, te recomendamos leer los FAQs de esta actividad.
¿A qué sistemas, infraestructura y componentes tecnológicos se extiende la implementación del SGSI?
Se refiere a los sistemas de información desarrollados internamente y/o las soluciones de terceros, por ejemplo:
Sistemas de nóminas subcontratado, ERP subcontratado, etcétera.
Sistemas de información como por ejemplo un CRM, sistemas de inventarios, etcétera.
Servicios IaaS, PaaS y/o SaaS, servicios cloud, entre otros.
💡 Debes tener en cuenta que una certificación de ISO 27001 no es para toda la empresa, por lo que debes identificar los elementos que sean más relevantes y que consideres requieren protección y controles de seguridad de la información.
Teniendo las respuestas a las preguntas anteriores, ya podrás establecer el enunciado de alcance de la certificación muy fácilmente, utilizando como base la siguiente estructura:
El alcance del Sistema de Gestión de Seguridad de la Información de (nombre empresa) contempla (A) para la protección efectiva de (B). Esta implementación se extiende a las siguientes áreas funcionales: (C), y a los siguientes procesos, productos y/o servicios: (D). La seguridad aplicada va desde la recepción de información, creación, procesamiento, transferencia, hasta su resguardo, de acuerdo a la declaración de aplicabilidad de la organización en su versión (# versión).
A continuación te explicamos cada uno de los incisos a completar:
A: Se refiere al enfoque de alto nivel de la certificación. Las opciones a considerar sugeridas por Hackmetrix son:
La gestión de la seguridad de la información.
Los servicios de seguridad y controles técnicos.
B: Se refiere a la intención del SGSI. Las opciones a considerar sugeridas por Hackmetrix son:
Los activos de información internos.
Los activos de información de clientes.
Los activos de información, tanto internos de la organización, como de clientes.
C: Aquí se deben destacar las áreas funcionales alcanzadas por el SGSI, que pueden ser por ejemplo:
Tecnología
Operaciones
Finanzas
Atención al cliente
cualquier otra área que vaya a estar dentro del alcance del SGSI.
D: Aquí se deben destacar los procesos, productos y/o servicios alcanzados por el SGSI, es decir aquellos que deseas proteger y certificar, por ejemplo:
Proceso de desarrollo del SaaS.
Proceso de soporte y atención al cliente.
Proceso de recabación y almacenamiento de datos.
Ejemplo práctico 📝
Si consideramos los elementos previamente explicados del enunciado propuesto, un ejemplo podría quedar de la siguiente forma:
“El alcance del Sistema de Gestión de Seguridad de la Información de Company SA de CV contempla la gestión de la seguridad de la información para la protección efectiva de los activos de información internos. Esta implementación se extiende a las siguientes áreas funcionales: Área Desarrollo y Área de Tecnología y Operaciones, y a los siguientes procesos, productos y/o servicios: Proceso de desarrollo del SaaS. La seguridad aplicada va desde la recepción de información, creación, procesamiento, transferencia, hasta su resguardo, de acuerdo a la declaración de aplicabilidad de la organización en su versión 2.”
Además del modelo base de enunciado anteriormente explicado (que es el que te proponemos en nuestra guía para hacer esta actividad), también podemos encontrar ejemplos que puntualicen otros objetivos, como por ejemplo:
✍🏼 Enunciado de alcance donde la seguridad de la información es puntual, se conocen los activos sobre los cuales se aplicará y está orientado a satisfacer requerimientos de sus clientes:
“El sistema de gestión de Organización S.A de C.V. aplica a la infraestructura tecnológica implementada en AWS y todos sus componentes que hacen posible la entrega de los servicios, procesos y controles técnicos para la protección de información financiera y confidencial de nuestros clientes del sector bancario gestionada por las áreas de Operación de TI y desarrollo. Todo esto de acuerdo con la última declaración de aplicabilidad de la organización en su versión 5”.
✍🏼 Enunciado de alcance donde la seguridad de la información tiene una función auxiliar y es parte del core del negocio:
“El sistema de gestión abarca las siguientes áreas funcionales: TI, Operaciones; que aprovisionan la seguridad de la información para el diseño, desarrollo, operación y mantenimiento en servicios de pagos y cobros electrónicos. Todo esto de acuerdo con la última declaración de aplicabilidad de la organización en su versión 8 publicada el 01 de enero del 2023.”
Debes colocar el enunciado final dentro de la Política de SGSI, ya que esta guía no debes presentarla durante una auditoría, el documento oficial es la política, y es donde apruebas y formalizas el alcance con todo tu equipo.
Además, recuerda que es muy importante analizar e identificar los procesos a certificar y aquellos con los que tienen dependencia o interacción en la sección 3.3 de la Política del SGSI, ya que esto es altamente auditable, y por ende, muy importante para tu proceso de certificación ☑️.
Durante la implementación de tu programa de seguridad todavía puede ser posible realizar cambios al enunciado de alcance, aunque no es recomendable ya que esto impacta en todos los documentos y evidencias que ya hayas generado, pero una vez llegando a la auditoría interna no se podrá modificar.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Recomendaciones ✅
Una buena estrategia para elaborar esta actividad es coordinar una sesión de trabajo donde participen representantes de la alta Dirección, las gerencias, el Oficial de Seguridad de Ia Información, el encargado de proyecto de la implementación y/o certificación ya que así podrá definirse el alcance en conjunto y todos estarán en la misma sintonía.
Recuerda que el alcance no certifica tu producto o servicio en sí, la certificación recae sobre los procesos, productos, servicios y/o activos elegidos, por eso es muy importante que definas cuáles son los más relevantes para la seguridad de la información en tu empresa.
No se acepta dar a entender que es el producto el que está certificado en sí.
Los logotipos de certificación no deben usarse de manera que puedan prestarse a una interpretación errónea sobre la certificación, dando entender que toda la empresa está certificada, por poner un ejemplo.
No se debe colocar marca de certificación del SGSI en un producto o servicio tangible.
Las actividades de implementación que deberás hacer se enfocarán en el alcance definido, pero recuerda que esto también incluye los procesos que interactúan con aquellos a certificar.
Comunica el alcance a toda la organización.
Durante una auditoría es súper importante que cuentes con el conocimiento y evidencia pertinente sobre todos los elementos que son alcanzados por tu SGSI.
Un mapa de procesos puede complementar y apoyar mucho tu cumplimiento normativo.
FAQs ❔
Consulta las preguntas frecuentes sobre esta actividad en el siguiente artículo.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.