FASE 2 ANÁLISIS DEL CONTEXTO DE LA ORGANIZACIÓN Y

DETERMINACIÓN DEL ALCANCE

Esta fase del proyecto consiste en establecer el contexto del SGSI en cumplimiento
de los requisitos de la norma ISO 27001 recogidos en la cláusula 4 de la Norma
Vamos a abordar aquí como afrontar este nuevo requisito que nos requiere la
comprensión del contexto de la Organización y sus necesidades.

QUE TENEMOS QUE HACER PARA CUMPLIR CON LA CLÁUSULA 4

Se trata del punto de partida para desarrollar el SGSI y consiste en determinar o

identificar los “problemas” internos y externos a los que se enfrenta la organización.

Explicado de otra forma, el contexto organizacional consiste en considerar las

expectativas y necesidades de todas las partes interesadas.

Pasos para poner en marcha este requisito:

• Comprender la organización y su contexto

o Comunicación y Consultas
o El contexto del SGSI
o El Contexto de la Gestión de Riesgos
o Definición de criterios del riesgo

• Comprender las necesidades y expectativas de las partes interesadas

o En que consiste
o Ejemplos

• Determinación del Alcance del Sistema de Gestión

o Propósito del Alcance del SGSI
o Como definir los limites el SGSI
o Cuestionario para definir el Alcance del SGSI
o Ejemplo de Alcance del SGSI
COMPRENDER LA ORGANIZACIÓN Y SU CONTEXTO

La norma ISO 27001 alineándose con los estándares ISO 31000 sobre Gestión del
Riesgo, nos propone ayudarnos con los requisitos del capítulo 5.3 de esta norma a
diferenciar e identificar el contexto interno y externo de la organización

Se trata de identificar en qué medida los aspectos internos y externos podrían

afectar al propósito de la organización y a su capacidad para lograr los resultados
esperados del SGSI. En otras palabras, los problemas que puedan afectar a la
Seguridad de la Información por la influencia de los agentes externos e internos en
los que está inmersa la actividad de la organización.

Se trata de identificar la influencia en la Seguridad de la Información determinada

por:

• Como se gestiona y gobierna su organización

• El conocimiento y las capacidades de la organización
• La cultura de la organización
• Las relaciones contractuales
• Como influyen las condiciones ambientales
• Las tendencias del mercado y de las condiciones regulatorias
• Los avances tecnológicos
• Las relaciones con proveedores externos
Determinar todas estas influencias equivale a realizar un proceso de Análisis y
evaluación de riesgos. Para ello aconsejamos realizar los siguientes pasos:

1) COMUNICACIÓN Y CONSULTA

Conocer el punto de vista y las perspectivas de todas las partes interesadas tanto
externas como internas puede ser una herramienta que nos ayude a identificar
causas, riesgos potenciales y aspectos desconocidos sobre la efectividad de las
medidas para la seguridad de la información.
Por otro lado, la realización de un plan de comunicación en fase temprana nos
ayudara a:

• Obtener un respaldo seguro y el apoyo necesario para los planes de

tratamiento de riesgos
• Identificar riesgos aportados por distintas áreas de experiencia
• Integrar y comprender los intereses de todas las partes
• Mejorar la comunicación con las partes internas y externas

2. EL CONTEXTO DEL SGSI

Se trata de definir los parámetros externos e internos que deben tenerse en cuenta
al gestionar el riesgo:

EL CONTEXTO EXTERNO
Se trata de definir los parámetros externos e internos que deben tenerse en cuenta
al gestionar el riesgo.

El contexto externo puede incluir:

• El entorno social y cultural, político, legal, regulatorio, financiero, tecnológico,

económico, ambiental
• El entorno competitivo, ya sea internacional, nacional, regional o local;
• Los factores clave del negocio y las tendencias que tienen impacto en los
objetivos de la organización;
• Las percepciones y los valores de las partes interesadas externas
(contratistas, clientes, administraciones públicas etc.).

EL CONTEXTO INTERNO
El contexto interno incluye cualquier cosa dentro de la organización que pueda influir
en la forma en que una organización administrará su riesgo de seguridad de la
información.

El contexto externo puede incluir:

 • El gobierno y administración, la estructura organizacional, los roles y
responsabilidades;
• Las políticas, los objetivos y las estrategias que existen para alcanzarlos;
• Capacidades, entendidas en términos de recursos y conocimiento (por
ejemplo, capital, tiempo, personas, procesos, sistemas y tecnologías);
• Las relaciones con las percepciones y valores de las partes interesadas
internas;
• La cultura de la organización;
• Los sistemas de información, flujos de información y procesos de toma de
decisiones (tanto formales como informales);
• Normas, directrices y modelos adoptados por la organización y la forma y el
alcance de las relaciones contractuales.

3. EL CONTEXTO DE LA GESTIÓN DE RIESGOS

La gestión del riesgo debe realizarse teniendo plenamente en cuenta la necesidad

de justificar los recursos utilizados para llevar a cabo la gestión del riesgo
especificando estos recursos, las responsabilidades y autoridades, y los registros
que deben mantenerse.

El contexto del proceso de gestión de riesgos variará de acuerdo con las

necesidades de una organización y entre otras cosas debe considerar:

• Definir las metas y objetivos de las actividades de gestión de riesgos;

• Definir responsabilidades dentro del proceso de gestión de riesgos;
• Definir el alcance, así como la profundidad y amplitud de las actividades de
gestión de riesgos que se llevarán a cabo, incluidas las exclusiones
específicas;
• Definir la actividad, proceso, función, proyecto, producto, servicio o activo en
términos de tiempo y ubicación;
• Definir las relaciones entre un proyecto, proceso o actividad particular y otros
proyectos, procesos o actividades de la organización;
• Definir las metodologías de evaluación de riesgos;
• Definir la forma en que se evalúa el rendimiento y la efectividad en la gestión
del riesgo;
• Identificar y especificar las decisiones que deben tomarse;
• Identificar el alcance o los estudios necesarios, su extensión y objetivos, y
los recursos requeridos para dichos estudios.
4. DEFINICIÓN DE CRITERIOS DE RIESGO

La organización debe definir los criterios que se utilizarán para evaluar la

importancia del riesgo.

Al definir los criterios de riesgo, los factores a considerar deben incluir lo siguiente:

• La naturaleza y los tipos de causas y consecuencias que pueden ocurrir y

cómo se medirán;
• Cómo se definirá la verosimilitud;
• El marco de tiempo de la probabilidad y / o consecuencia;
• Cómo se determinará el nivel de riesgo;
• Las opiniones de los interesados;
• El nivel al cual el riesgo se vuelve aceptable o tolerable;
• Si se deben tener en cuenta las combinaciones de riesgos múltiples y, de ser
así, cómo y qué combinaciones se deben considerar.

La etapa de evaluación de riesgos compara el nivel de riesgos con los criterios de

aceptación de riesgos, definidos durante el establecimiento del
contexto. Luego, el paso de tratamiento de riesgo establece controles. En el paso
de aceptación del riesgo, los riesgos residuales deben ser aceptados por los
gerentes de la organización. Luego, la estimación del riesgo intenta calificar las
consecuencias de la pérdida en una escala cualitativa o cuantitativa, así como la
probabilidad de ocurrencia. Identificando las fuentes del riesgo.

Este paso se utiliza para determinar exhaustivamente todas las fuentes de riesgo y
posibles eventos que puedan afectar el negocio de la Organización. Cada riesgo
debe describirse de la manera más completa posible, de modo que los responsables
de la toma de decisiones puedan comprender completamente la situación

Comprender la naturaleza de la amenaza, criticidad y vulnerabilidades relevantes o

potenciales es un componente esencial para establecer el contexto. A continuación,
hay una serie de consideraciones y preguntas que pueden facilitar este proceso:
 • ¿Cómo podrían verse afectadas la confidencialidad, la integridad y la
disponibilidad de la información?
• ¿Cuál es el valor agregado de los activos de información para la
Organización?
• ¿Qué impacto tendría una divulgación involuntaria? ¿Qué supondría un
evento o incidente?
• ¿Cuál sería el impacto de la pérdida de confianza en la integridad de su
información? Por ejemplo, la integridad del registro del cliente.
• ¿Qué consecuencias tendría una divulgación involuntaria de información en
un acuerdo de subcontratación o en el extranjero? ¿Cuáles son las fuentes
de riesgo? ¿Qué amenazas hay?
• Al buscar información para el proceso de identificación de riesgos, se debe
tener en cuenta los planes de seguridad de los organismos de protección de
datos de la administración, ya que son una fuente de información verificada
sobre los riesgos para la información.

5. COMPRENDER LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES

INTERESADAS

La organización debe identificar las partes interesadas y los requisitos que son
relevantes para el sistema de gestión de seguridad de la información

¿Qué son las partes interesadas en el contexto del SGSI?

Se trata de personas u organizaciones que pueden influir en la seguridad de la

información o en la continuidad del negocio. Por otro lado, puede tratarse de
personas o entidades que pueden verse afectadas por la seguridad de la
información o las actividades de continuidad del negocio.

Típicamente, las partes interesadas podrían incluir:

• Empleados y sus familias

• Accionistas o propietarios del negocio
• Agencias gubernamentales y entidades reguladoras
• Servicios de emergencia (por ejemplo, bomberos, policía, ambulancia, etc.)
• Clientes
• Medios de comunicación
 • Proveedores y socios
• Cualquier otra persona que considere importante para su negocio.

Habiendo identificado a sus partes interesadas, ahora hay demandas para que una
organización considere sus necesidades y expectativas.

NOTAS sobre las partes interesadas:

• Las necesidades y expectativas son solo aquellas relevantes para la

seguridad de la información.
• Los requisitos legales y reglamentarios así como las obligaciones
contractuales pueden incluirse en los requisitos de las partes interesadas
• Algo que parece evidente pero quo conviene resaltar es que Ud. necesita
averiguar lo que las partes interesadas quieren de usted, y necesita averiguar
cómo satisfacer todos estos requisitos en su SGSI.

6. DETERMINAR EL ALCANCE DEL SISTEMA DE GESTIÓN DE

SEGURIDAD DE LA INFORMACIÓN SGSI
Se trata de definir los límites en la aplicación del sistema de gestión de la seguridad
de la información.

Los elementos que debemos tener en cuenta para la definición del alcance son:

• El contexto de la organización: Las cuestiones Internas y Externas

• Los requisitos y expectativas de las partes interesadas

Identificar el alcance correcto del SGSI es crucial porque ayudará a las

organizaciones a cumplir sus requisitos de seguridad y planificar la implementación
del SGSI

Una correcta definición del alcance permitirá:

• Determinar los recursos necesarios evitando el uso innecesario de recursos

(en términos de tiempo, costo y esfuerzo)
 • Planificar la implementación del SGSI determinando el calendario y el
presupuesto necesarios.
• Alinear los requisitos de seguridad de la organización con los ejercicios de
análisis y evaluación de riesgos.

Ejemplos de preguntas que pueden guiar a las organizaciones a la hora de definir

el alcance y los límites del SGSI:

• ¿Qué productos y servicios en su organización estarán cubiertos por el

SGSI?
• ¿Cómo y por qué el producto o servicio seleccionado es crítico para su
organización?
• ¿Cuáles son las características del servicio seleccionado, es decir, el
negocio, la organización, sus ubicaciones, activos y tecnologías para ser
incluidos en el SGSI?
• ¿Va a requerir que las partes externas, proveedores cumplan con su SGSI?
• ¿Si las actividades realizadas por la organización requieren de interfaces o
dependencias externas o de actividades realizados por terceros? ¿Deberían
ser considerados dentro del alcance del SGSI?

Consideraciones antes de definir el Alcance del SGSI

• 1. Considere los requisitos de seguridad de la información que se han

identificado en la Cláusula 4.1 – Definir los requisitos de seguridad de la
información; 2. Considerar los servicios críticos que pueden causar un gran
impacto en la organización o en sus clientes y partes interesadas como
resultado de pérdidas de confidencialidad, integridad o disponibilidad;
• 3. Definir el alcance y los límites de la organización;
• 4. Definir el alcance y los límites de la Tecnología de Comunicación de
Información (TIC)
• 5. Definir el alcance físico y los límites
• 6. Integre alcance y límites elementales para obtener el alcance y los límites
del SGSI.
• 7. Considere las actividades externalizadas así como las interfaces y
dependencias requeridas.
7. CÓMO DEFINIR EL ALCANCE DE UN SGSI

1. Identificar lo que necesita ser protegido

Una de las primeras preguntas que debemos hacer es "¿Qué necesita protección?

En primer lugar, hay que determinar que activos de información deben protegerse
para apoyar a la organización en el logro de sus objetivos comerciales.

Para establecer que los activos realmente valen la pena proteger, la organización
debe justificar por qué cada activo requiere protección mediante un inventario de
activos. El análisis y evaluación del riesgo de cada activo determinaran su inclusión
en el alcance del SGSI.

De cualquier manera, el alcance debe definir claramente lo que se está incluyendo,

en función de los objetivos comerciales y los activos de información que se
protegerán, y debe quedar claro que todo lo demás está fuera del alcance.

2. Comprenda la organización
Cuando el alcance de un SGSI se define por la necesidad de proteger un activo en
particular es importante entender primero los componentes del sistema y la
estructura involucrada en la entrega de los servicios relevantes.

Esto puede incluir, por ejemplo, obtener diagramas de sistema que muestren los
almacenamientos y flujos de datos y los sistemas de TI relevantes. El personal
involucrado en la administración y entrega de todos los componentes del sistema
probablemente será considerado "dentro del alcance".

3. Asegurar el apoyo al alcance del SGSI

El alcance de un SGSI, política, proyecto o auditoría, etc. debe ser respaldado y
acordado formalmente por las principales partes interesadas relevantes
Si no se identifica correctamente y se acepta formalmente el alcance seguramente
tendremos dificultades para realizar el plan de implantación del SGSI

Para quienes manejan la seguridad de la información, es importante considerar los

límites del control y la autoridad.

4. Monitorear y revisar
El alcance de un SGSI, política, auditoría o proyecto no es estático y puede
evolucionar con el tiempo a medida que se desarrollan las circunstancias, las
amenazas, las tecnologías y los requisitos. Por lo tanto, el alcance no es algo que
deba hacerse una vez al comienzo de un proyecto y luego se lo olvide.

El alcance del SGSI debe ser revisado a intervalos regulares o cuando haya
cambios significativos estableciendo para ello dependencias de tiempo en el
proyecto de seguridad que debería ser aplicable para un período de tiempo
particular.

Motivos para revisar el alcance del SGSI

• Cambios en el entorno regulatorio

• Actualizaciones a estándares o en requisitos de terceros
• Cambio en la organización (por ejemplo, cambios en la estructura de la
organización)
• No conformidades o incidentes que indiquen alcance incorrecto
• Madurez general del SGSI (el alcance puede aumentar con el tiempo)
• Cambio en los procesos y las prácticas (por ejemplo, el cese de ciertas
actividades)
• Cambios en la externalización de servicios

FUENTE DE CONSULTA:

https://normaiso27001.es/fase-2-analisis-del-contexto-de-la-organizacion-y-determinacion-del-
alcance/