Entonces, \u00bfd\u00f3nde est\u00e1 el problema?<\/p>\n
El problema que se presenta cuando el alcance de la ISO 27001 no abarca a toda la organizaci\u00f3n es que el Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) tiene que interactuar con el mundo \u201cexterior\u201d. En ese contexto, el mundo exterior no son s\u00f3lo los clientes, socios, proveedores, etc., sino tambi\u00e9n los departamentos de la organizaci\u00f3n que no est\u00e1n dentro del alcance definido. Puede parecer gracioso, pero un departamento que no est\u00e1 incluido en el alcance debe ser tratado de la misma forma que un proveedor externo.<\/p>\n
Por ejemplo, si decide que s\u00f3lo el departamento de TI est\u00e9 dentro del alcance, y este departamento utiliza los servicios del sector Compras, el departamento de TI debe realizar la evaluaci\u00f3n de riesgos sobre el sector Compras para identificar si existe alg\u00fan riesgo para la informaci\u00f3n de la que es responsable el departamento de TI. Adem\u00e1s, ambas \u00e1reas deben firmar acuerdos de t\u00e9rminos y condiciones por los servicios brindados.<\/p>\n
\u00bfPor qu\u00e9 es necesario este gasto operativo? P\u00f3ngase en el lugar del organismo de certificaci\u00f3n: debe certificar que, dentro del alcance definido, usted puede administrar la informaci\u00f3n de forma segura, pero no puede verificar ninguno de los otros departamentos que est\u00e1n fuera del alcance. La \u00fanica forma de manejar una situaci\u00f3n de este tipo es tratando a esos departamentos como si fueran compa\u00f1\u00edas externas. (Aclaraci\u00f3n: a los auditores de certificaci\u00f3n no les gusta un alcance acotado.)<\/p>\n
Pero este no es todo el problema. A veces, un alcance muy acotado directamente no es posible porque no hay interacci\u00f3n con el mundo exterior. Por ejemplo, si los empleados de \u00e1reas que se encuentran dentro y fuera del alcance trabajan en la misma habitaci\u00f3n, un alcance de este tipo es muy poco factible. Si ambos empleados utilizan la misma red local (sin divisi\u00f3n) y tienen acceso a diversos servicios de red, un alcance definido de esta forma, definitivamente, no es posible; no hay forma de que usted pueda controlar el flujo de informaci\u00f3n solamente dentro del \u00e1mbito del alcance que ha definido.<\/p>\n
El punto aqu\u00ed es que, a veces, resulta imposible acotar el alcance de su SGSI y, en la mayor\u00eda de los casos, le ocasionar\u00e1 costos operativos innecesarios. Por lo tanto, lo que inicialmente no parec\u00eda una buena idea podr\u00eda ser, despu\u00e9s de todo, la soluci\u00f3n \u00f3ptima: intente extender el alcance a toda la organizaci\u00f3n. Como regla general: si su organizaci\u00f3n tiene no m\u00e1s de unos pocos cientos de empleados y una o unas pocas ubicaciones, lo mejor ser\u00eda que el SGSI cubra a toda la organizaci\u00f3n.<\/p>\n
En cambio, si realmente no es posible incluir a toda la organizaci\u00f3n dentro del alcance de su SGSI, intente acotarlo a una unidad de la organizaci\u00f3n que sea suficientemente independiente. Intente resolver las relaciones con otras unidades que se encuentran afuera del alcance determinando sus servicios mediante documentos internos (pol\u00edticas, procedimientos, etc.) que podr\u00edan utilizarse como \u201cacuerdos\u201d; de esta forma, podr\u00eda documentar las obligaciones de esas unidades de la organizaci\u00f3n de una forma que sea \u00fatil para las actividades diarias.<\/p>\n
Ah\u00ed lo tiene, ha resuelto el primer paso en la implementaci\u00f3n de la norma ISO 27001.<\/p>\n