SEGURIDAD INFORMÁTICA Y HACKING ÉTICO

La definición y documentación (clausula 4.3.1 b)) del alcance del SGSI según la norma ISO 27001, es uno de los primeros pasos en un proceso de implantación. Cuando una empresa certifica su SGSI según esta norma, no se está certificando toda la empresa, sino un alcance determinado en la misma, que puede abarcar toda la organización o no.

El alcance de un Sistema de Gestión de Seguridad de la Información (SGSI) lo conforman un subconjunto de sedes, servicios, procesos, departamentos, activos de información y personal de una organización. La política de seguridad del SGSI será aplicable a todo el alcance así como las medidas de seguridad que se implementen.

A la hora de certificar el SGSI según la ISO 27001, el equipo auditor comprobará la conformidad del mismo con la norma en todo el alcance y se emitirá el certificado sobre dicho alcance. Si dejamos elementos de la empresa fuera del alcance, estos no serán auditados y el certificado conseguido no será aplicable a ellos. ¿Podemos entonces dejar fuera del alcance todos aquellos elementos donde no se haya asimilado con éxito el sistema de gestión para incrementar nuestras posibilidades de certificar nuestro SGSI? No es tan sencillo. La clausula 4.2.1 a) de la norma establece como requisito que el alcance y sus límites deben ser coherentes con las características del negocio, la organización interna, la localización física de las sedes de la empresa, sus activos y la tecnología que emplea. La exclusión del alcance de cualquier componente de la empresa, ya sean departamentos, personal o activos debe estar debidamente justificado.

Una tarea fundamental si queremos dejar elementos de una organización fuera del alcance es crear las interfaces necesarias entre los elementos que están fuera y dentro del alcance. Los que están dentro del alcance están en lo que podríamos denominar “zona segura”, mientras que los elementos fuera del alcance (aunque estén en la misma empresa) “zona peligrosa”. Si determinado tipo de información sale a zona peligrosa, insisto, aunque sea otro departamento dentro de la misma organización, la seguridad ya no puede ser la misma. Seguramente existirá información que no podrá ir de un departamento en el alcance a otro fuera del alcance, sin más. Se deberán establecer criterios para el manejo de información que va de zona segura a zona peligrosa, podría ser que hubiera que encriptar la información de un pendrive que se mueve dentro de la misma empresa debido a que sale de zona segura. En este ejemplo es evidente que si no existe una clara separación entre dos departamentos, será inviable que uno esté en el alcance y otro fuera.

Que el alcance esté alineado con el negocio es fundamental. Imaginemos que un proveedor de servicios de Internet desea certificar su SGSI, que está implantado únicamente sobre su departamento contable, que consiste en una persona haciendo uso de un software de contabilidad. Este alcance será difícilmente aceptable ya que el negocio de la empresa no es la contabilidad. La razón es que cuando esta empresa difunda que su SGSI está certificado según la ISO 27001, sus potenciales clientes supondrán que se está gestionando adecuadamente la información en los servicios que ofrece este ISP, y esto no es deseable. En cualquier caso, si nos interesa que un potencial proveedor proteja adecuadamente nuestra información, y su SGSI esté certificado según la ISO 27001, deberemos conocer el alcance del mismo para asegurarnos de que no nos dan gato por liebre.

Aunque es necesario invertir un tiempo determinado inicialmente en la definición del alcance hay que tener en cuenta que durante la implantación será evidente la necesidad de ampliarlo o no. La necesidad de ampliar el alcance puede deberse a una fuerte dependencia de un departamento con otro, a la aparición de un subproceso que no conocíamos a priori o simplemente a necesidades del negocio. Es recomendable que la empresa documente (actas de reunión, informes…) debidamente los pasos seguidos para llegar al alcance definido. Esto proporcionará las necesarias evidencias al auditor sobre las razones del alcance seleccionado.

El cambio en la definición del alcance forma parte del funcionamiento del SGSI, de hecho, la clausula 4.2.3 f), establece necesario que, a intervalos regulares, la Dirección de la organización revise la idoneidad del alcance del SGSI. Incluso algunas empresas lo toman como estrategia y optan por seleccionar un alcance inicial reducido y una vez conseguida la certificación, ampliar el alcance gradualmente hasta cubrir toda la organización. Cuando ya se ha implantado la norma en un alcance reducido, los resultados y éxito conseguidos sirven para impulsar la ampliación del alcance con mayor facilidad.

Hay que tener en cuenta que un alcance reducido facilita la implantación, reduciendo en principio, la cantidad de trabajo, el coste total y la cantidad de documentación necesaria (4.3.1 NOTA 2). Sin embargo, si durante la implantación, la reducción del alcance supone un problema o directamente nos topamos repetidas veces con la duda de si incluir un activo en el alcance o no, seguramente es porque dicho activo debería estar dentro del alcance. En ocasiones, un alcance demasiado reducido o erróneamente definido repercute en la cantidad de trabajo necesario. Un alcance menor que una unidad de negocio, difícilmente será aceptado y certificado.

La definición del alcance donde implantaremos el SGSI, especialmente si optamos por certificarnos, es un hito fundamental que puede alterar el resultado de todo el proyecto, por lo que contar con un experto con experiencia puede ahorrarnos mucho tiempo y dinero facilitando toda la implantación.