vit0y4

Ahora la pregunta del millón es ¿como definir cual será el alcance de nuestra gestión?

Las respuestas a esto son muchas, pero vamos por partes:

La razón por la cual una empresa toma la iniciativa de iniciar la gestión de seguridad informática, es vital en este punto, puesto que generalmente se tiene claro que es lo que se pretende proteger, sin embargo a veces luego del análisis de riesgos y la verificación de los activos de la empresa terminamos dándonos cuenta que hay mucho mas de lo que inicialmente pensábamos. El alcance hasta este punto nos ubicará en una empresa y en unos objetivos específicos, la idea de la gestión de seguridad comienza al pretender brindar garantías de continuidad del negocio, esto quiere decir que necesitamos asegurar aquellos sistemas de información que son vitales para la empresa, pueden ser uno o varios o todos los de la empresa no importa, esto depende en gran medida de nuestro análisis y de lo que la empresa este dispuesta a invertir.

Si la empresa ya cuenta con un Sistema de Gestión de calidad, en nuestro alcance podríamos hacer mención de aquellos procesos que serán sujetos de protección con el sistema de gestión de seguridad. Esto nos ayudará a echar una mirada de forma transversal a toda la empresa, sacando información vital para la seguridad informática como el medio y la forma como es transmitida la información entre los procesos internos de la empresa como en aquellos que involucran agentes externos.

Ahora la pregunta es que hay que poner en el documento del alcance, bueno realmente no hay un esquema que detalle como y de que forma se organizará dicho documento, pero lo ideal seria puntualizar:

1. El objeto de negocio de la empresa
2. Procesos que involucran a los activos que se protegerán si son todos pues definir cuales son todos
3. Flujos de información, es decir que información entra a cada proceso y cual sale y la relación entre los procesos

La idea es no extenderse en detalles ya que en el análisis de riesgos se hará una revisión minuciosa de los activos a proteger, en este punto puede ser importante apoyarse con la ayuda de gráficos que ayuden sobre todo a la alta dirección y entes externos a entender que es lo que se quiere con el sistema de gestión de seguridad informática.

Todo esto quedará como una versión previa del alcance, está se podrá ir modificando o mejorando a medida que se avance en el trabajo, claro siempre que el cambio no sea muy radical.

Hasta acá ya deberíamos tener el alcance definido, y estaremos listos para iniciar con el análisis de Riesgos.

Cabe aclarar que esto no se ciñe a ninguna norma de gestión de seguridad informática, simplemente busca dar luces sobre la gestión de seguridad en pequeñas empresas que sean conscientes de que necesitan implementar seguridad.

__________________

Dharman

Vamos bien...
gracias por el nuevo aporte.

__________________
-----------------------------------------------
No pretendamos que las cosas cambien si siempre hacemos lo mismo. Albert Einstein

darki113r

Thx por el aporte, muy bueno, Byetz.