Y ahí están las celdas de Excel en toda su ordenada inmensidad esperando información sobre el sistema de gestión de seguridad de la información (SGSI), para declarar los controles aplicables y no aplicables, y su estado de implementación en la organización. No llegaste allí por casualidad, sino que te encomendaron hacer una declaración de aplicabilidad (DdA) o statement of applicability (SoA, por sus siglas en inglés). ¿Cómo empezar a nutrir cada celda y darle forma al proyecto? ¿Cómo hacer de la seguridad de la información una práctica habitual, una costumbre que responsa lo que dictan cada columna y cada fila? Con el SoA esas columnas y filas se convierten en mapas que pueden llevarnos a varios destinos: una auditoría (que a su vez puede servir de puente hacia la certificación), a una implementación eficaz de ISO/IEC 27001 y/o a la organización de controles de seguridad de la información.
Definir nombres para las celdas no basta, ¡hay que poner manos a la obra! En GACS hemos hecho decenas de declaraciones de aplicabilidad exitosas, así que te contamos nuestro método paso a paso para que hagas tu SoA sin perder tiempo ni te compliques.
Paso 1: Identifica tus activos de información y determina a qué amenazas y vulnerabilidades están sometidos, que puedan provocar una violación o pérdida de seguridad de la información. Asigna un valor a cada riesgo del activo, según el impacto potencial de su materialización y su probabilidad de ocurrencia.
Paso 2: Evalúa cada riesgo analizado contra los criterios de aceptación y, cuando aplique, escoge uno o más controles que ayuden a mitigar dicho riesgo. Involucra a las partes interesadas relevantes en la evaluación, como gerentes, equipos de TI, especialistas en seguridad y auditores. ¡Todos cuentan!
Paso 3: Documenta los controles seleccionados en tu formulario de SoA, e indica qué control del anexo A de la norma ISO/IEC 27001: 2022 le corresponde. Continúa revisando otros controles del Anexo A que no hayas considerado en la evaluación de riesgos y que pueden ser aplicables a tu organización. Finalmente, completa tu SoA con controles del Anexo A no aplicables, y justifica cada una de esas inclusiones y exclusiones.
Este paso se debe hacer conociendo el Anexo A. Recordemos que existen 4 temas en los que se agrupan los controles: físicos, organizacionales, de personas y tecnológicos. Puedes usar la guía ISO/IEC 27002: 2022 para ampliar este punto.
Paso 4: Añade documentación sobre los controles implementados. Pueden ser procedimientos, políticas (te recomendamos incluir título, fecha y versión de cada uno), o registros (evidencias).
Paso 5: Declara en el SoA el estado de implementación (%, nivel, etc.) de cada control incluido. Esto ayuda a la organización a conocer las brechas de implementación existentes.
Paso 6: Presenta el SoA a las partes interesadas pertinentes y haz las modificaciones que el equipo considere.
Paso 7: Revisa el SoA al menos una vez al año o cada vez que haya cambios en el negocio, nuevos riesgos o actualización de evaluaciones de riesgos de seguridad de la información, incidentes de seguridad, nuevas leyes y/o reglamentos, entre otros. Los mapas no suelen cambiar, pero el SoA sí, puesto que el SGSI es parte de algo mucho más grande: una organización, que a su vez pertenece a un país y que se somete a regulaciones y a la que el contexto no le es ajeno.
Es importante que se utilice un lenguaje claro y comprensible en el SoA y que se mantenga accesible para las partes interesadas, incluyendo auditores externos.
¿SoA listo? Ya puedes contar con la relación entre los controles de la norma y lo que realmente se hace en la empresa para preservar la información. Estás contribuyendo con la identificación, organización y registro de las medidas de seguridad implantadas.
Las celdas están pobladas ahora, no son casillas vacías, las llenaron tu trabajo y el de tu equipo. Avanzaron hacia la confidencialidad, integridad y disponibilidad, harán que el trabajo de los ciberdelincuentes sea más difícil y allanarán el camino de quienes protegen la información como baluarte del éxito organizacional.
0 comentarios