Mi empresa desea obtener la certificación ISO 27001, por lo que hemos iniciado un estudio preliminar y ahora estamos trabajando en un borrador del alcance del SGSI de acuerdo con la norma (contexto de la empresa, partes interesadas, límites ...).
Varias cosas no me quedan claras, por lo que me gustaría obtener ayuda para comprender mejor qué debe incluirse o no en el alcance y otras posibles consecuencias:
-
Ubicaciones: la ubicación única de la oficina de la empresa está dentro del alcance (pequeña oficina), pero ¿debemos incluir también la ubicación del centro de datos donde se alojan algunos activos? Tenga en cuenta que este no es nuestro propio centro de datos, pero está subcontratado (la empresa alquila algunos bastidores a un proveedor de centros de datos local).
-
Fuera de alcance: la compañía también posee acciones en otra compañía que se encuentra dentro de la misma oficina / local. Podemos considerar "locales compartidos", porque las personas de esta otra compañía pueden acceder a toda la oficina (solo el control de acceso se encuentra en la entrada principal). Desde el punto de vista de la red, la segunda empresa está aislada en una DMZ dedicada sin acceso a la red de mi empresa (aún debe confirmarse, al menos pueden usar una impresora compartida).
Mi primera evaluación fue excluir a la segunda compañía del ámbito (incluida la DMZ dedicada), pero después de pensar un poco más, no parece tan fácil decidir, ya que las personas pueden mudarse a cualquier lugar dentro de nuestra oficina ... >
- ¿Es esto algo que se planteará a través del análisis de riesgos y el plan de tratamiento (la conclusión probablemente será aislar físicamente a esta segunda compañía o trasladarla a otra parte)?
- ¿Qué sucede con la DMZ dedicada en un firewall en el alcance si está fuera del alcance (red no segura)?