Ir al contenido principal

FAQs - 1. Alcance del SGSI

👉Si ya cuento con certificación en otras normativas ISO, ¿puedo usar el alcance y la documentación ya generada?

R: Sí es posible trabajar con el alcance y documentación de diversos sistemas de gestión con base en normativas ISO. Incluso existe un término llamado sistema de gestión integral que consiste justamente en manejar múltiples aspectos de la operativa de una empresa de manera simultánea, para que todo funcione correctamente.

Pero si deseas hacer esto, será muy importante considerar los siguientes puntos:

  • Debes entender el enfoque y el objetivo de la normativa que se desea implementar para identificar si es necesario realizar ajustes al alcance ya definido.

    • Por ejemplo, un Sistema de Gestión de Calidad basado en las directrices de ISO 9001 tiene como principal objetivo satisfacer plenamente las necesidades y expectativas del cliente, con servicios y/o productos de alta calidad y aplicando un proceso de mejora continua. Mientras que la ISO 27001 busca prevenir la pérdida de confidencialidad, integridad y/o disponibilidad de los sistemas y datos de la empresa, con un enfoque tecnológico.

  • En caso de que sí realices ajustes a tu alcance, debes actualizar tu documentación para asegurar que incluya las áreas y/o procesos añadidos con el enfoque de la normativa que deseas implementar.

    • Es importante trabajar este punto correctamente para evitar que la documentación se vuelva confusa o demasiado extensa. Si los cambios no impactan de manera negativa el entendimiento de tus políticas y procedimientos, esta tarea será sencilla. Pero generar documentación por separado, también es una buena alternativa ✅.

  • Y lo más importante; debes asegurarte de implementar los controles de seguridad adicionales requeridos por la nueva normativa, y generar la evidencia pertinente que demuestre su cumplimiento.

👉¿Cómo debo aprobar y comunicar el alcance del SGSI?

R: Como tal vez ya habrás notado, dentro de la actividad 1. Alcance del SGSI del plan de acción de ISO 27001, la plataforma no te solicita una evidencia de aprobación o comunicación, pero ¡esto no significa que no sea necesario!

Para lograr la actividad #1 es importante definir un enunciado de alcance, ya que no es posible comenzar un proyecto de certificación sin tener claro qué es lo que la empresa desea proteger con esta normativa.

Pero el enunciado final que definas en conjunto con la alta dirección y/o tu comité de seguridad debe ser colocado dentro de la Política de SGSI. Y es por medio de este documento por el cual el alcance es formalizado, pasándolo previamente por aprobación y luego, al comunicarlo a toda la empresa.

👉¿Cuáles son los procesos que deberían ser alcanzados por mi SGSI?

R: Para definir cuáles son los procesos que debes incluir en tu alcance puedes analizarlo de varias formas:

  • Identificando los procesos críticos y/o esenciales para las operaciones de tu empresa.

    • Así como los procesos que permiten la continuidad y buen funcionamiento de dichas operaciones.

  • Verificando los procesos que realiza cada una de las áreas de tu empresa.

    • Por ejemplo, para una empresa SaaS, los procesos del área de Desarrollo y Tecnología son indispensables para las operaciones, por lo que deberían ser alcanzados por el SGSI.

  • Si buscas certificarte para cerrar algún contrato o cumplir un requerimiento en particular, analiza cuáles son los procesos en los que la parte interesada está involucrada, y por ende, los procesos a los que deberás implementar controles de seguridad de la información.

Ejemplos 📝

Ahora bien, siguiendo el caso de la empresa SaaS donde los procesos del área de Desarrollo y Tecnología son indispensables para las operaciones, podemos definir como ejemplo que los procesos alcanzados serán los siguientes:

  • Procesos de desarrollo interno.

  • Procesos de atención a incidentes de seguridad y vulnerabilidades.

👉¿Cómo puedo analizar los procesos dependientes y/o con interferencia?

R: Recomendamos realizar un análisis para validar todas aquellas actividades que, aunque no sean el centro de tus operaciones, son necesarias para llevarlas a cabo correctamente, por ejemplo:

  • Procesos del área de Recursos Humanos: Son de gran importancia para las operaciones ya que si no tuvieras procesos de reclutamiento y contratación que permitan cubrir la demanda de trabajo, básicamente no sería posible operar.

  • Procesos de soporte o atención al cliente: Éstos siempre son necesarios y van de la mano con un buen funcionamiento del negocio, sin importar el giro.

Para que este análisis sea rápido y eficiente, lo ideal es que ya cuentes con los procesos de tu empresa bien documentados, pero de no ser así, puedes hacerlo mediante un diagrama de flujo, mapa de procesos o cualquier otra herramienta que te parezca conveniente.

👉¿Cómo puedo documentar los procesos a certificar y los procesos dependientes y/o con interferencia?

R: La organización puede utilizar la herramienta y/o metodología que le parezca más conveniente para la gestión de procesos a alto nivel, lo importante es documentarlos y conocer cuál es la interacción e impacto que tienen con el alcance. Para esto puedes utilizar la estructura de un mapa de procesos, que se vería de la siguiente manera:

Este mapa no está diseñado para describir demasiados detalles sobre el proceso, sino para brindar información clave que nos va a servir para identificar las interacciones de este proceso con otro. Además, puede crearse a modo de tabla de la siguiente manera:

Nombre del proceso: (Se coloca el nombre general del proceso)

Fuentes de entrada

Entradas

Actividades

Salidas

Receptores de salidas

Insumos, productos, servicios, procesos o cualquier otro elemento necesario para la ejecución del proceso principal a documentar.

Recursos o elementos que se requieren tener para poder ejecutar el proceso, como pueden ser: materiales, información, equipos, herramientas digitales, etcétera.

Tareas y/o actividades que se realizan para transformar las entradas en salidas; es decir que aquí debes plasmar el flujo de trabajo que lleva el proceso.

Elementos resultantes de la aplicación del proceso, como pueden ser productos, informes, servicios, etcétera.

Insumos, productos, servicios, procesos o cualquier otro elemento que toma las salidas de este proceso para llevarse a cabo.

Un ejemplo a nivel general de un proceso puede verse de la siguiente manera:

Nombre del proceso: Envíos y entregas de los productos de la empresa.

Fuentes de entrada

Entradas

Actividades

Salidas

Receptores de salidas

Proceso de obtención de la Información de pago del cliente.

Servicio de arrendamiento de almacenes.

Servicio de "delivery" para la entrega de productos.

Servicios de pago en línea.

Materiales de empaque para el producto.

Espacio de almacenamiento.

Camiones de entrega.

1. El cliente realiza la compra.

2. Se envía la factura al almacén.

3. El equipo de almacén prepara el envío.

4. La empresa de distribución retira el envío.

5. La empresa de distribución lleva el envío a destino.

Recepción del producto dentro de un período de tiempo determinado.

Proceso de facturación y compras.

En este ejemplo vemos cómo las entradas y salidas proporcionan información importante para identificar los procesos que tienen una dependencia y/o interferencia con los procesos principales a certificar.

Artículos relacionados
4. Política de SGSI
1. Definición del alcance del SGSI
FAQs - 44. Matriz de Evaluación de Requisitos Legales y Contractuales
FAQs- 4. Política de SGSI
Guía para la definición del alcance del SGIA
¿Ha quedado contestada tu pregunta?