definirse en términos de actividad empresarial, de la organización, su ubicación, sus activos y tecnología. • Los términos de la actividad empresarial vienen identificados por los procesos de negocio de los que quiere gestionarse la seguridad de la información que interviene en los mismos para garantizar su continuidad.
ALCANCE DEL SISTEMA
Al hablar de la información en la empresa hicimos referencia a diferentes niveles de elaboración, uso, destino y tratamiento de la información. Podremos servirnos de ellas para fijar los límites en los aspectos de datos, ubicación e infraestructura tecnológica: • Información de alto nivel utilizada (documentos, informes, intercambios con clientes, etc.) y ubicaciones físicas del negocio. • Cómo se obtiene esa información (activos de información: bases de datos, aplicaciones). • Cuál es y dónde está ubicada la infraestructura que los soporta (activos de tecnología, infraestructura auxiliar de soporte o terceros que prestan servicios).
ALCANCE DEL SISTEMA
• El siguiente paso será proceder a su integración. Una vez realizada, se deberán relacionar (inventariar) todos los activos identificados. Con ellos y sus relaciones tendremos la base fundamental para hacer el análisis de riesgos. • Realizadas estas actividades, se habrán definido de forma completa el alcance y los límites del sistema en términos de actividad, activos, ubicación y tecnología. • Es necesario destacar que la decisión sobre el alcance debe madurarse adecuadamente. La implantación de un SGSI no es una tarea trivial: en algunos casos puede conllevar modificaciones de prácticas o hábitos de trabajo de la organización y, una vez implantado, hay que mantenerlo y mejorarlo.
LA POLÍTICA DEL SGSI
• La política del SGSI debe recoger y transmitir el compromiso de la dirección a través de una declaración de intenciones de alto nivel que proporcione las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requieran para llevar a cabo la gestión de la seguridad en la organización. • Como se recoge en la propia norma de referencia, esta política, acorde con las características de la actividad empresarial, debe contener un marco para la fijación de objetivos y establecer una orientación general sobre el modo de proceder de la organización en materia de seguridad de la información. • Una vez definida debe ser aprobada por la dirección y comunicada a toda la organización.