En el contexto de seguridad de la información, cumplimiento normativo o auditoría, el término alcance se refiere a los límites definidos de aplicación de un sistema de gestión, una auditoría o un proyecto de seguridad. Es decir, qué se incluye y qué se deja fuera, tanto en términos organizativos, tecnológicos como geográficos.
¿Qué es el alcance?
Relacionado: RGPD. Controles. CENT. 2025 02 20 Seguridad iOS memoria permisos y sandboxing. Sistema de Gestion de la Seguridad de la Informacion.
Es la definición formal de los límites sobre los cuales se aplican controles, se realiza una auditoría o se implanta un sistema (como un SGSI).
Responde a las preguntas:
¿Qué sistemas, procesos, sedes, departamentos o servicios están cubiertos?
¿Y cuáles no?
Alcance en distintos contextos
1. En un SGSI (ISO 27001 / ENS)
En este caso, el alcance define:
-
Qué procesos, unidades, departamentos o áreas funcionales se incluyen
-
Qué activos de información o infraestructuras están cubiertos
-
Qué ubicaciones físicas o sedes aplican
-
Qué sistemas o aplicaciones concretas se gestionan dentro del sistema
Ejemplo de alcance de SGSI:
“El SGSI cubre los procesos de tratamiento de datos personales en los sistemas de recursos humanos y nóminas de la sede central de Madrid”.
2. En una auditoría
El alcance de una auditoría define:
-
Qué elementos o controles se van a auditar
-
Qué normativa o marco se aplicará (ENS, ISO, RGPD…)
-
El período de tiempo evaluado
-
Las sedes o entornos que forman parte del análisis
Ejemplo:
“Auditoría técnica sobre los sistemas críticos del CPD de la organización, en base al cumplimiento del ENS, categoría media, durante el año 2024”.
3. En un análisis de riesgos
Se refiere a los activos y procesos evaluados: redes, aplicaciones, servicios, datos, personas…
El alcance determina sobre qué entorno se realiza el análisis, y condiciona la identificación de amenazas y vulnerabilidades.
Elementos clave que debe definir un alcance
-
Organización/unidades funcionales incluidas
-
Sedes físicas o virtuales
-
Sistemas o activos tecnológicos
-
Servicios o procesos de negocio
-
Normas o marcos aplicables
-
Limitaciones o exclusiones justificadas
¿Qué pasa si no se define bien?
-
Se auditan o protegen cosas que no son necesarias (ineficiencia)
-
Se excluyen partes críticas sin justificarlo (riesgo elevado)
-
Se genera falsa sensación de cumplimiento
-
No es posible certificar un SGSI correctamente
Conclusión
El alcance es una pieza fundamental en la gestión de la seguridad, porque define el perímetro exacto donde se aplican las medidas, controles y auditorías.
Una definición precisa, justificada y bien documentada del alcance es clave para el éxito de cualquier proyecto de seguridad, certificación o cumplimiento legal.
¿Quieres que te prepare un modelo de documento de alcance para un SGSI tipo ISO 27001 o ENS? ¿O un ejemplo aplicado a un sistema de recursos humanos o una aplicación web?