FASE 2 ANÁLISIS DEL CONTEXTO DE LA

ORGANIZACIÓN Y DETERMINACIÓN DEL

ALCANCE
Esta fase del proyecto consiste en establecer el contexto del SGSI en
cumplimiento de los requisitos de la norma ISO 27001 recogidos en la cláusula
4 de la Norma
Vamos a abordar aquí como afrontar este nuevo requisito que nos requiere la
comprensión del contexto de la Organización y sus necesidades.

QUE TENEMOS QUE HACER PARA CUMPLIR

CON LA CLÁUSULA 4
Se trata del punto de partida para desarrollar el SGSI y consiste en determinar o
identificar los “problemas” internos y externos a los que se enfrenta la
organización.

Explicado de otra forma, el contexto organizacional consiste en considerar las

expectativas y necesidades de todas las partes interesadas.

Les resumimos los pasos para poner en marcha este requisito

 Comprender la organización y su contexto

o Comunicación y Consultas
o El contexto del SGSI
o El Contexto de la Gestión de Riesgos
o Definición de criterios del riesgo
 Comprender las necesidades y expectativas de las partes interesadas
o En que consiste
o Ejemplos
 Determinación del Alcance del Sistema de Gestión
o Propósito del Alcance del SGSI
o Como definir los limites el SGSI
o Cuestionario para definir el Alcance del SGSI
o Ejemplo de Alcance del SGSI
COMPRENDER LA ORGANIZACIÓN Y SU
CONTEXTO
La norma ISO 27001 alineándose con los estándares ISO 31000 sobre Gestión
del Riesgo, nos propone ayudarnos con los requisitos del capítulo 5.3 de esta
norma a diferenciar e identificar el contexto interno y externo de la organización

Se trata de identificar en qué medida los aspectos internos y externos podrían

afectar al propósito de la organización y a su capacidad para lograr los resultados
esperados del SGSI. En otras palabras, los problemas que puedan afectar a la
Seguridad de la Información por la influencia de los agentes externos e internos
en los que está inmersa la actividad de la organización.

Se trata de identificar la influencia en la Seguridad de la Información

determinada por

 Como se gestiona y gobierna su organización

 El conocimiento y las capacidades de la organización
 La cultura de la organización
 Las relaciones contractuales
 Como influyen las condiciones ambientales
 Las tendencias del mercado y de las condiciones regulatorias
 Los avances tecnológicos
 Las relaciones con proveedores externos

Determinar todas estas influencias equivale a realizar un proceso de Análisis y

evaluación de riesgos. Para ello aconsejamos realizar los siguientes pasos:

1 COMUNICACIÓN Y CONSULTA

Conocer el punto de vista y las perspectivas de todas las partes interesadas tanto
externas como internas puede ser una herramienta que nos ayude a identificar
causas, riesgos potenciales y aspectos desconocidos sobre la efectividad de las
medidas para la seguridad de la información.
Por otro lado, la realización de un plan de comunicación en fase temprana nos
ayudara a:

 Obtener un respaldo seguro y el apoyo necesario para los planes de

tratamiento de riesgos
 Identificar riesgos aportados por distintas áreas de experiencia
 Integrar y comprender los intereses de todas las partes
 Mejorar la comunicación con las partes internas y externas

2. EL CONTEXTO DEL SGSI

Se trata de definir los parámetros externos e internos que deben tenerse en cuenta
al gestionar el riesgo:

EL CONTEXTO EXTERNO
Se trata de definir los parámetros externos e internos que deben tenerse en cuenta
al gestionar el riesgo.

El contexto externo puede incluir:

 El entorno social y cultural, político, legal, regulatorio, financiero,

tecnológico, económico, ambiental
 El entorno competitivo, ya sea internacional, nacional, regional o local;
 Los factores clave del negocio y las tendencias que tienen impacto en los
objetivos de la organización;
 Las percepciones y los valores de las partes interesadas externas
(contratistas, clientes, administraciones públicas etc.).

EL CONTEXTO INTERNO
El contexto interno incluye cualquier cosa dentro de la organización que pueda
influir en la forma en que una organización administrará su riesgo de seguridad
de la información.

El contexto externo puede incluir:

  El gobierno y administración, la estructura organizacional, los roles y
responsabilidades;
 Las políticas, los objetivos y las estrategias que existen para alcanzarlos;
 Capacidades, entendidas en términos de recursos y conocimiento (por
ejemplo, capital, tiempo, personas, procesos, sistemas y tecnologías);
 Las relaciones con las percepciones y valores de las partes interesadas
internas;
 La cultura de la organización;
 Los sistemas de información, flujos de información y procesos de toma de
decisiones (tanto formales como informales);
 Normas, directrices y modelos adoptados por la organización y la forma y
el alcance de las relaciones contractuales.

4. EL CONTEXTO DE LA GESTIÓN DE RIESGOS

La gestión del riesgo debe realizarse teniendo plenamente en cuenta la necesidad

de justificar los recursos utilizados para llevar a cabo la gestión del riesgo
especificando estos recursos, las responsabilidades y autoridades, y los registros
que deben mantenerse.

El contexto del proceso de gestión de riesgos variará de acuerdo con las

necesidades de una organización y entre otras cosas debe considerar:

 Definir las metas y objetivos de las actividades de gestión de riesgos;

 Definir responsabilidades dentro del proceso de gestión de riesgos;
 Definir el alcance, así como la profundidad y amplitud de las actividades
de gestión de riesgos que se llevarán a cabo, incluidas las exclusiones
específicas;
 Definir la actividad, proceso, función, proyecto, producto, servicio o
activo en términos de tiempo y ubicación;
 Definir las relaciones entre un proyecto, proceso o actividad particular y
otros proyectos, procesos o actividades de la organización;
 Definir las metodologías de evaluación de riesgos;
 Definir la forma en que se evalúa el rendimiento y la efectividad en la
gestión del riesgo;
 Identificar y especificar las decisiones que deben tomarse;
 Identificar el alcance o los estudios necesarios, su extensión y objetivos, y
los recursos requeridos para dichos estudios.
5. DEFINICIÓN DE CRITERIOS DE RIESGO

La organización debe definir los criterios que se utilizarán para evaluar la

importancia del riesgo.

Al definir los criterios de riesgo, los factores a considerar deben incluir lo

siguiente:

 La naturaleza y los tipos de causas y consecuencias que pueden ocurrir y

cómo se medirán;
 Cómo se definirá la verosimilitud;
 El marco de tiempo de la probabilidad y / o consecuencia;
 Cómo se determinará el nivel de riesgo;
 Las opiniones de los interesados;
 El nivel al cual el riesgo se vuelve aceptable o tolerable;
 Si se deben tener en cuenta las combinaciones de riesgos múltiples y, de
ser así, cómo y qué combinaciones se deben considerar.

La etapa de evaluación de riesgos compara el nivel de riesgos con los criterios de

aceptación de riesgos, definidos durante el establecimiento del
contexto. Luego, el paso de tratamiento de riesgo establece controles. En el paso
de aceptación del riesgo, los riesgos residuales deben ser aceptados por los
gerentes de la organización. Luego, la estimación del riesgo intenta calificar las
consecuencias de la pérdida en una escala cualitativa o cuantitativa, así como la
probabilidad de ocurrencia. Identificando las fuentes del riesgo
Este paso se utiliza para determinar exhaustivamente todas las fuentes de riesgo y
posibles eventos que puedan afectar el negocio de la Organización. Cada riesgo
debe describirse de la manera más completa posible, de modo que los
responsables de la toma de decisiones puedan comprender completamente la
situación

Comprender la naturaleza de la amenaza, criticidad y vulnerabilidades relevantes

o potenciales es un componente esencial para establecer el contexto. A
continuación hay una serie de consideraciones y preguntas que pueden facilitar
este proceso:

 ¿Cómo podrían verse afectadas la confidencialidad, la integridad y la

disponibilidad de la información?
 ¿Cuál es el valor agregado de los activos de información para la
Organización?
 ¿Qué impacto tendría una divulgación involuntaria? ¿Qué supondría un
evento o incidente?
 ¿Cuál sería el impacto de la pérdida de confianza en la integridad de su
información? Por ejemplo, la integridad del registro del cliente.
 ¿Qué consecuencias tendría una divulgación involuntaria de información
en un acuerdo de subcontratación o en el extranjero? ¿Cuáles son las
fuentes de riesgo? ¿Qué amenazas hay?
 Al buscar información para el proceso de identificación de riesgos, se debe
tener en cuenta los planes de seguridad de los organismos de protección de
datos de la administración, ya que son una fuente de información
verificada sobre los riesgos para la información.

COMPRENDER LAS NECESIDADES Y

EXPECTATIVAS DE LAS PARTES INTERESADAS
La organización debe identificar las partes interesadas y los requisitos que son
relevantes para el sistema de gestión de seguridad de la información

Qué son las partes interesadas en el contexto del SGSI

Se trata de personas u organizaciones que pueden influir en la seguridad de la

información o en la continuidad del negocio. Por otro lado, puede tratarse de
personas o entidades que pueden verse afectadas por la seguridad de la
información o las actividades de continuidad del negocio.

Típicamente, las partes interesadas podrían incluir:

 Empleados y sus familias

 Accionistas o propietarios del negocio
  Agencias gubernamentales y entidades reguladoras
 Servicios de emergencia (por ejemplo, bomberos, policía, ambulancia,
etc.)
 Clientes
 Medios de comunicación
 Proveedores y socios
 Cualquier otra persona que considere importante para su negocio.

Habiendo identificado a sus partes interesadas, ahora hay demandas para que una
organización considere sus necesidades y expectativas.

NOTAS sobre las partes interesadas:

 Las necesidades y expectativas son solo aquellas relevantes para la

seguridad de la información.
 Los requisitos legales y reglamentarios así como las obligaciones
contractuales pueden incluirse en los requisitos de las partes interesadas
 Algo que parece evidente pero quo conviene resaltar es que Ud. necesita
averiguar lo que las partes interesadas quieren de usted, y necesita
averiguar cómo satisfacer todos estos requisitos en su SGSI

CASO PRACTICO:
IDENTIFICACION DE PARTES INTERESADAS ISO 27001

Veamos en primer lugar algunos aspectos necesarios:

 Los accionistas necesitan seguridad en sus inversiones y un

buen rendimiento
 Los clientes quieren que cumpla con las cláusulas de
seguridad en los contratos
 Las entidades regulatorias quieren que cumpla con las leyes y
regulaciones de sobre seguridad de la información y
protección de datos
 Los medios demandan información y noticias de forma ágil y
precisa relacionadas con los incidentes en seguridad de
información, etc.
Esto es un primer paso, luego debe especificar exactamente qué leyes y
reglamentos, así como cláusulas de seguridad o continuidad existen en
los contratos al igual que en los demás requisitos de partes interesadas:

La tarea de identificar los requisitos hay que realizarla antes de

comenzar a desarrollar su SGSI.

Veamos un ejemplo concreto de definición de partes Interesadas y sus

intereses

Identificación de requisitos de CLIENTES

 1. Entregar productos y servicios con soporte y mantenimiento

o 1.1. de acuerdo con los requisitos contractuales.
o 1.2. En caso de interrupciones
o 1.3. Cumpliendo los requisitos legales aplicables
o 1.4. Cumpliendo los requisitos adicionales de la
industria aplicables
 2. Dar servicio de mantenimiento en condiciones (24/7/365)
 3. Cumplir con los requisitos de ISO 27001
 4. Disponibilidad de Sistemas 99,9%
 5. SLA de respuesta a incidentes: 4 horas desde recepción de
comunicaciones en centro de contacto
 6. Requisitos PCI DSS v3.2.1

Identificación de requisitos de USUARIOS FINALES

 1. Servicios disponibles
o 1.1. Sistemas de apoyo ante interrupciones
o 1.2. Mantener servicios de soporte ante interrupciones
 2. Protección de datos: Los productos y servicios protegen
adecuadamente los datos de los usuarios finales cumpliendo
los requisitos legales tanto para los datos de contacto como
para los datos confidenciales
Identificación de requisitos de SOCIOS
Los socios serán empresas que contratan nuestras aplicaciones para dar
servicio a usuarios finales

 1. Cumplir con los requisitos de desarrollo de Software según

los acuerdos firmados
 2. Cumplir con los acuerdos de confidencialidad firmados
 3. Proporcionar información técnica y soporte suficiente que
les permita desarrollar y mejorar su Interfaz de Programación
de Aplicaciones (API)
 4. Proporcionar la formación necesaria tanto técnica como
comercial enfocada a la venta de los productos y servicios
 5. Cumplir los acuerdos contractuales especialmente en los
tiempos de entrega acordados

Identificación de requisitos de PROVEEDORES

 1. Cumplir con los acuerdos contractuales

 2. Cumplir con las formas de pago acordadas
 3. Cumplir con los acuerdos de confidencialidad firmados

Identificación de requisitos de EMPLEADOS

 1. Proporcionar un ambiente de trabajo seguro y apropiado.

 2. Recibir capacitación y apoyo requeridos.
 3. La compañía especifica claramente sus requisitos y
expectativas de los trabajadores.
 4. Protección de su información personal.
 5. La compañía paga justamente por el trabajo.
 6. Continuidad del empleo
 7. Oportunidades para el avance y desarrollo profesional

Identificación de requisitos de ASEGURADORAS

 1. Cumplir con los requisitos de la política

 2. Fidelidad en los pagos
  3. Comunicación de cambios en las circunstancias del negocio
y del riesgo

Identificación de requisitos de administración

 1. Cumplir con los requisitos de las leyes de protección de

datos
 2. Identificar y cumplir con los requisitos legales propios de
cada tipo de negocio emprendido
o 2.1. Ley de comercio electrónico
o 2.2. Ley general de telecomunicaciones
o 2.3. Otras
 3. Información mediante planes de comunicación y
procedimientos establecidos para mitigar su impacto

DETERMINAR EL ALCANCE DEL SISTEMA DE

GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN SGSI
Se trata de definir los límites en la aplicación del sistema de gestión de la
seguridad de la información.

Los elementos que debemos tener en cuenta para la definición del alcance son:

 El contexto de la organización: Las cuestiones Internas y Externas

 Los requisitos y expectativas de las partes interesadas

Identificar el alcance correcto del SGSI es crucial porque ayudará a las

organizaciones a cumplir sus requisitos de seguridad y planificar la
implementación del SGSI

Una correcta definición del alcance permitirá:

  Determinar los recursos necesarios evitando el uso innecesario de recursos
(en términos de tiempo, costo y esfuerzo)
 Planificar la implementación del SGSI determinando el calendario y el
presupuesto necesarios.
 Alinear los requisitos de seguridad de la organización con los ejercicios de
análisis y evaluación de riesgos.

Ejemplos de preguntas que pueden guiar a las organizaciones a la hora de definir

el alcance y los límites del SGSI:

 ¿Qué productos y servicios en su organización estarán cubiertos por el

SGSI?
 ¿Cómo y por qué el producto o servicio seleccionado es crítico para su
organización?
 Cuáles son las características del servicio seleccionado; es decir, el
negocio, la organización, sus ubicaciones, activos y tecnologías para ser
incluidos en el SGSI?
 ¿Va a requerir que las partes externas, proveedores cumplan con su SGSI?
 ¿Si las actividades realizadas por la organización requieren de interfaces o
dependencias externas o de actividades realizados por terceros? ¿Deberían
ser considerados dentro del alcance del SGSI?

Consideraciones antes de definir el Alcance del SGSI

 1. Considere los requisitos de seguridad de la información que se han

identificado en la Cláusula 4.1 – Definir los requisitos de seguridad de la
información; 2. Considerar los servicios críticos que pueden causar un
gran impacto en la organización o en sus clientes y partes interesadas
como resultado de pérdidas de confidencialidad, integridad o
disponibilidad;
 3. Definir el alcance y los límites de la organización;
 4. Definir el alcance y los límites de la Tecnología de Comunicación de
Información (TIC)
 5. Definir el alcance físico y los límites
 6. Integre alcance y límites elementales para obtener el alcance y los
límites del SGSI.
 7. Considere las actividades externalizadas así como las interfaces y
dependencias requeridas
CÓMO DEFINIR EL ALCANCE DE UN SGSI
1. Identificar lo que necesita ser protegido
Una de las primeras preguntas que debemos hacer es "¿Qué necesita protección?

En primer lugar hay que determinar que activos de información deben protegerse
para apoyar a la organización en el logro de sus objetivos comerciales.

Para establecer que los activos realmente valen la pena proteger, la organización
debe justificar por qué cada activo requiere protección mediante un inventario de
activos. El análisis y evaluación del riesgo de cada activo determinaran su
inclusión en el alcance del SGSI

Una buena recomendación

Una vez definidos los procesos y las actividades incluidas en el alcance

y para que el alcance sea completamente claro, especialmente para
terceros, resulta útil identificar lo que no está en el alcance (por
ejemplo, las actividades del departamento de recursos humanos)

De cualquier manera, el alcance debe definir claramente lo que se está

incluyendo, en función de los objetivos comerciales y los activos de información
que se protegerán, y debe quedar claro que todo lo demás está fuera del alcance.

2. Comprenda la organización
Cuando el alcance de un SGSI se define por la necesidad de proteger un activo en
particular es importante entender primero los componentes del sistema y la
estructura involucrada en la entrega de los servicios relevantes.

Esto puede incluir, por ejemplo, obtener diagramas de sistema que muestren los
almacenamientos y flujos de datos y los sistemas de TI relevantes. El personal
involucrado en la administración y entrega de todos los componentes del sistema
probablemente será considerado "dentro del alcance".
3. Asegurar el apoyo al alcance del SGSI
El alcance de un SGSI, política, proyecto o auditoría, etc. debe ser respaldado y
acordado formalmente por las principales partes interesadas relevantes

Si no se identifica correctamente y se acepta formalmente el alcance seguramente

tendremos dificultades para realizar el plan de implantación del SGSI

Para quienes manejan la seguridad de la información, es importante considerar

los límites del control y la autoridad.

Una buena recomendación

Si se da el caso de que la seguridad de los servicios o sistemas en un

departamento particular está fuera del control o la autoridad de los
propietarios del SGSI, no deberían incluirse en el alcance. En el
contexto de una auditoría, se hace imprescindible acordar qué sistemas
están en el alcance ya que hay que garantizar a qué sistemas el auditor
está autorizado a acceder y en qué circunstancias. En caso contrario
podemos tener problemas incluso legales.

4. Monitorear y revisar
El alcance de un SGSI, política, auditoría o proyecto no es estático y puede
evolucionar con el tiempo a medida que se desarrollan las circunstancias, las
amenazas, las tecnologías y los requisitos. Por lo tanto, el alcance no es algo que
deba hacerse una vez al comienzo de un proyecto y luego se lo olvide.

El alcance del SGSI debe ser revisado a intervalos regulares o cuando haya
cambios significativos estableciendo para ello dependencias de tiempo en el
proyecto de seguridad que debería ser aplicable para un período de tiempo
particular.

Motivos para revisar el alcance del SGSI

 Cambios en el entorno regulatorio
 Actualizaciones a estándares o en requisitos de terceros
 Cambio en la organización (por ejemplo, cambios en la estructura de la
organización)
 No conformidades o incidentes que indiquen alcance incorrecto
 Madurez general del SGSI (el alcance puede aumentar con el tiempo)
 Cambio en los procesos y las prácticas (por ejemplo, el cese de ciertas
actividades)
 Cambios en la externalización de servicios