Definiendo el alcance del SGSI
Uno de los pasos más importantes a la hora de implementar un SGSI es definir adecuadamente el alcance. ¿Qué ámbito debe cubrir? Suele ser un tema complicado de decidir, principalmente porque un alcance global, que cubra toda la organización, no suele ser ni la opción más eficiente ni la más eficaz. Tenemos que pensar que la implantación de un SGSI es un proyecto de gran calado, con repercusiones transversales a todo el alcance que definamos, y cuyas raíces deberían llegar hasta la cultura de la organización. Por tanto, la mejor opción siempre será diseñar un SGSI para un alcance más reducido, optimizando recursos y resultados, que más adelante ya ampliaremos, cuando la filosofía de gestión de la seguridad haya calado y los controles implementados se puedan extender progresivamente.
Por tanto, una vez que hemos decidido que el alcance sea parcial... ¿Qué procesos, divisiones o departamentos debe cubrir? Se trata de identificar aquella parte de la organización en la que la seguridad puede aportar un mayor valor añadido. Pero... ¿Qué filosofía podemos seguir para identificar ese valor añadido? Aquí cito algunas de ellas:
* Aumentar el valor de un servicio "seguro": Esta filosofía supone implementar un SGSI para potenciar un servicio que ya incorpora funciones de seguridad, en el que un SGSI va a aportar beneficios directos. Es una opción evidente, con el inconveniente es que sólo es aplicable para aquellos servicios en los que la seguridad es un valor intrínseco al mismo.
* Potenciar un servicio final: Esta opción supone la implantación de un SGSI ligado a los servicios y/o procesos de negocio. De esta forma, se da un valor añadido a los mismos, bañándolos de una capa de seguridad adicional. Es una filosofía muy válida en aquellos entornos en los que se quiera sacar provecho de una certificación, ya que la seguridad repercute directamente en los clientes.
* Reforzar los servicios y procesos internos: Esta filosofía pretende implantar el SGSI para fortalecer determinados servicios y procesos internos, en los que una mejora en la seguridad pueda suponer una ventaja para la organización. En general, se suele traducir en la implementación del SGSI en el área de IT, por ser uno de los principales responsables del tratamiento y conservación de la información de la compañía, o en áreas en las que se maneja información de especial relevancia, como podrían ser las áreas de I+D+i (prototipos, diseños, etc), recursos humanos (datos de caracter personal) o financiero (datos económicos).
* Potenciar la gestión interna: Por último, otra de las filosofías que a veces se utiliza para decidir el alcance es identificar aquellas partes de la organización en las que la implantación del SGSI, como sistema de gestión, sirva para potenciar y estructurar la gestión interna. Es quizás una de las filosofías más discutibles, ya que existen multitud de sistemas de gestión centrados en distintos aspectos y quizás el de la seguridad pueda no ser el más indicado en todos los casos, pero en determinadas situaciones puede ser una opción.
Seguro que a todos se nos pueden ocurrir más filosofías para decidir la implantación de un SGSI en una u otra parte de la organización, pero desde mi punto de vista estas son las principales. Ahora, es suficiente con identificar cuál encaja mejor con nuestra organización, y utilizarla para identificar el mejor ámbito para implantar nuestro SGSI. Suerte en el intento...
Fuente: http://secugest.blogspot.com/2006/10/definiendo-el-alcance-del-sgsi.html
___
Por tanto, una vez que hemos decidido que el alcance sea parcial... ¿Qué procesos, divisiones o departamentos debe cubrir? Se trata de identificar aquella parte de la organización en la que la seguridad puede aportar un mayor valor añadido. Pero... ¿Qué filosofía podemos seguir para identificar ese valor añadido? Aquí cito algunas de ellas:
* Aumentar el valor de un servicio "seguro": Esta filosofía supone implementar un SGSI para potenciar un servicio que ya incorpora funciones de seguridad, en el que un SGSI va a aportar beneficios directos. Es una opción evidente, con el inconveniente es que sólo es aplicable para aquellos servicios en los que la seguridad es un valor intrínseco al mismo.
* Potenciar un servicio final: Esta opción supone la implantación de un SGSI ligado a los servicios y/o procesos de negocio. De esta forma, se da un valor añadido a los mismos, bañándolos de una capa de seguridad adicional. Es una filosofía muy válida en aquellos entornos en los que se quiera sacar provecho de una certificación, ya que la seguridad repercute directamente en los clientes.
* Reforzar los servicios y procesos internos: Esta filosofía pretende implantar el SGSI para fortalecer determinados servicios y procesos internos, en los que una mejora en la seguridad pueda suponer una ventaja para la organización. En general, se suele traducir en la implementación del SGSI en el área de IT, por ser uno de los principales responsables del tratamiento y conservación de la información de la compañía, o en áreas en las que se maneja información de especial relevancia, como podrían ser las áreas de I+D+i (prototipos, diseños, etc), recursos humanos (datos de caracter personal) o financiero (datos económicos).
* Potenciar la gestión interna: Por último, otra de las filosofías que a veces se utiliza para decidir el alcance es identificar aquellas partes de la organización en las que la implantación del SGSI, como sistema de gestión, sirva para potenciar y estructurar la gestión interna. Es quizás una de las filosofías más discutibles, ya que existen multitud de sistemas de gestión centrados en distintos aspectos y quizás el de la seguridad pueda no ser el más indicado en todos los casos, pero en determinadas situaciones puede ser una opción.
Seguro que a todos se nos pueden ocurrir más filosofías para decidir la implantación de un SGSI en una u otra parte de la organización, pero desde mi punto de vista estas son las principales. Ahora, es suficiente con identificar cuál encaja mejor con nuestra organización, y utilizarla para identificar el mejor ámbito para implantar nuestro SGSI. Suerte en el intento...
Fuente: http://secugest.blogspot.com/2006/10/definiendo-el-alcance-del-sgsi.html
___
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!