ISMS Copilot
Glosario de ISO 27001

¿Qué es el alcance del SGSI en ISO 27001?

Descripción General

El Alcance del SGSI define los límites y la aplicabilidad de su Sistema de Gestión de Seguridad de la Información. Requerido por la Cláusula 4.3 de ISO 27001:2022, especifica exactamente qué partes de su organización, qué ubicaciones, qué sistemas y qué procesos están cubiertos por su SGSI y, lo que es igual de importante, qué queda excluido.

El alcance es un documento fundamental que da forma a todas las actividades posteriores del SGSI, desde la evaluación de riesgos hasta la implementación de controles y la preparación para las auditorías.

El Alcance del SGSI en la Práctica

El alcance de su SGSI debe estar documentado y considerar:

  • Cuestiones externas e internas identificadas en la Cláusula 4.1 (contexto empresarial, regulaciones, amenazas)

  • Requisitos de las partes interesadas de la Cláusula 4.2 (clientes, reguladores, socios)

  • Interfaces y dependencias con otras actividades de la organización

El alcance debe estar disponible para las partes interesadas y suele compartirse con clientes, auditores y organismos de certificación.

Su alcance determina qué controles del Anexo A se aplican. Un alcance más amplio significa más activos para proteger y más controles para implementar; un alcance más estrecho reduce la complejidad pero puede limitar el valor para el negocio.

Componentes del Alcance del SGSI

Límites Organizativos

Defina qué unidades de negocio, departamentos o entidades legales están incluidos.

Ejemplo (organización completa): "Este SGSI se aplica a todas las operaciones de Acme Corporation, incluyendo la sede central, las oficinas regionales y la fuerza laboral remota".

Ejemplo (unidad específica): "Este SGSI cubre la división de Servicios de TI de Acme Corporation, excluyendo las operaciones de fabricación y venta minorista".

Ubicaciones Físicas

Especifique qué sitios geográficos o instalaciones están cubiertos.

Ejemplo: "El alcance del SGSI incluye nuestro centro de datos principal en Frankfurt, Alemania; las oficinas corporativas en París, Francia; y todas las oficinas en el hogar de los empleados remotos dentro de la UE".

Procesos y Actividades

Identifique qué procesos de negocio entran dentro del SGSI.

Ejemplo: "El SGSI cubre el desarrollo de software, las operaciones de infraestructura en la nube, el procesamiento de datos de clientes, el soporte técnico y la gestión de servicios de TI. Excluye los sistemas de nómina de recursos humanos gestionados por un tercero".

Activos de Información

Defina los tipos de información y sistemas protegidos por el SGSI.

Ejemplo: "El SGSI protege los datos personales de los clientes, el código fuente patentado, los registros financieros, la información de los empleados y toda la infraestructura de TI de soporte (redes, servidores, bases de datos, aplicaciones SaaS)".

Exclusiones y Justificaciones

Indique claramente qué NO está incluido y explique por qué.

Ejemplo: "El SGSI no cubre la planta de fabricación en Shanghái, ya que opera bajo un sistema de gestión de calidad ISO 9001 independiente con sus propios controles de seguridad de la información supervisados por la subsidiaria local".

Las exclusiones deben justificarse y no pueden comprometer su capacidad para lograr los resultados previstos del SGSI ni cumplir con las obligaciones legales/regulatorias. Los auditores examinarán minuciosamente las exclusiones injustificadas.

Definiendo su Alcance: Consideraciones Clave

Contexto del Negocio (Cláusula 4.1)

Alinee el alcance con los objetivos estratégicos, los riesgos y los requisitos de cumplimiento:

  • ¿Cuáles son sus procesos de negocio críticos?

  • ¿Qué requisitos regulatorios se aplican (GDPR, HIPAA, PCI DSS)?

  • ¿Qué amenazas y oportunidades afectan a su organización?

Requisitos de las Partes Interesadas (Cláusula 4.2)

Asegúrese de que el alcance aborde las necesidades de los interesados:

  • ¿Requieren los clientes la certificación ISO 27001 para servicios específicos?

  • ¿Obligan los contratos la seguridad de ciertos datos o sistemas?

  • ¿Existen obligaciones legales para proteger tipos de información específicos?

Enfoque Basado en Riesgos

Priorice las áreas de alto riesgo:

  • ¿Qué activos, de verse comprometidos, causarían el mayor daño?

  • ¿Dónde se encuentran sus mayores vulnerabilidades de seguridad de la información?

  • ¿Qué procesos manejan los datos más sensibles?

Pragmatismo y Recursos

Equilibre la exhaustividad con la viabilidad de la implementación:

  • ¿Tiene recursos para implementar controles en toda la organización?

  • ¿Es más realista un enfoque por fases (comenzar con servicios básicos, expandir después)?

Comience con un alcance más estrecho centrado en sistemas críticos y procesos de alto valor. Puede ampliar el alcance más adelante a medida que su SGSI madure, demostrando una mejora continua.

Patrones Comunes de Alcance

Alcance Basado en Producto/Servicio

"El SGSI se aplica al diseño, desarrollo, implementación y soporte de nuestra plataforma SaaS de gestión de relaciones con el cliente (CRM)".

Ideal para: empresas de software, proveedores de servicios, líneas de productos específicas.

Alcance Basado en la Ubicación

"El SGSI cubre todas las actividades de seguridad de la información en nuestra sede europea y la infraestructura en la nube asociada".

Ideal para: organizaciones con operaciones regionales distintas o límites de cumplimiento (por ejemplo, GDPR en la UE).

Alcance Basado en Departamentos

"El SGSI se aplica al departamento de Tecnologías de la Información y a todos los sistemas, redes y datos que este gestiona".

Ideal para: organizaciones que inician la implementación del SGSI o con gestión de seguridad federada.

Alcance para Toda la Organización

"El SGSI cubre todas las operaciones, instalaciones, empleados y activos de información de Acme Corporation a nivel global".

Ideal para: organizaciones maduras que buscan una gobernanza de seguridad integral o demostrar un compromiso en toda la empresa.

Formato de la Declaración de Alcance

Aunque ISO 27001:2022 no exige un formato específico, las declaraciones de alcance efectivas suelen seguir esta estructura:

  1. Introducción: nombre de la organización y propósito del SGSI

  2. Inclusiones: unidades de negocio, ubicaciones, procesos, sistemas y tipos de datos cubiertos

  3. Exclusiones: lo que no está cubierto y por qué

  4. Aplicabilidad: a quién se aplica el SGSI (empleados, contratistas, socios)

  5. Interfaces: conexiones con otros sistemas de gestión o terceros externos

  6. Aprobación: autorizado por la alta dirección con fecha

Ejemplo de Declaración de Alcance

"El SGSI de Acme Cloud Services se aplica al diseño, desarrollo, operación y soporte de nuestra plataforma de almacenamiento en la nube multiinquilino, incluyendo toda la infraestructura asociada (centros de datos en Frankfurt y Dublín), el personal (equipos de ingeniería, operaciones y soporte) y los activos de información (datos de clientes, código de la plataforma, sistemas de TI corporativos). El alcance incluye empleados remotos a nivel global. Excluido: Procesamiento de pagos de terceros gestionado por Stripe bajo su propia certificación ISO 27001. Este SGSI cumple con ISO 27001:2022, GDPR y los requisitos SOC 2 Tipo II".

Utilice el ISMS Copilot para redactar una declaración de alcance del SGSI adaptada a su organización, identificar las inclusiones y exclusiones adecuadas o mapear los requisitos de las partes interesadas con los elementos del alcance.

Revisión y Actualizaciones del Alcance

Su alcance no es estático. Revíselo y actualícelo:

  • Durante la revisión por la dirección (Cláusula 9.3) en intervalos planificados

  • Cuando ocurran cambios significativos (fusiones, nuevos servicios, cambios regulatorios)

  • Si las auditorías internas o los incidentes revelan brechas en la cobertura

  • Como parte de la mejora continua para expandir la protección

Documente los cambios en el alcance, obtenga la aprobación de la alta dirección y comunique las actualizaciones a las partes interesadas.

Impacto del Alcance en los Controles

Su alcance determina directamente:

  • Límites de la evaluación de riesgos: qué activos y amenazas evaluar (Cláusula 6.1.2)

  • Controles aplicables: qué controles del Anexo A son relevantes (Cláusula 6.1.3)

  • Declaración de Aplicabilidad: qué incluir en la SoA

  • Alcance de la auditoría: qué evaluarán los organismos de certificación

  • Requisitos de recursos: presupuesto, personal y herramientas necesarias

Errores Comunes a Evitar

  • Alcance demasiado amplio para los recursos disponibles, lo que lleva a una implementación incompleta

  • Alcance demasiado estrecho, excluyendo sistemas o datos críticos

  • Lenguaje vago que hace que los límites no queden claros

  • Excluir áreas de alto riesgo sin una justificación válida

  • No alinear el alcance con los requisitos de los clientes o regulatorios

  • No actualizar el alcance cuando el negocio cambia

  • Falta de aprobación por parte de la alta dirección

Términos Relacionados

¿Te fue útil?