Agustinas 1022 OF 1004, Santiago

+569 3179 0476

contacto@gaconsultingsolutions.com

Te enseñamos a hacer un SoA (declaración de aplicabilidad) paso a paso

Por Mariángela Gatta

7 de mayo de 2024

Y ahí están las celdas de Excel en toda su ordenada inmensidad esperando información sobre el sistema de gestión de seguridad de la información (SGSI), para declarar los controles aplicables y no aplicables, y su estado de implementación en la organización. No llegaste allí por casualidad, sino que te encomendaron hacer una declaración de aplicabilidad (DdA) o statement of applicability (SoA, por sus siglas en inglés). ¿Cómo empezar a nutrir cada celda y  darle forma al proyecto? ¿Cómo hacer de la seguridad de la información una práctica habitual, una costumbre que responsa lo que dictan cada columna y cada fila? Con el SoA esas columnas y filas se convierten en mapas que pueden llevarnos a varios destinos: una auditoría (que a su vez puede servir de puente hacia la certificación), a una implementación eficaz de ISO/IEC 27001 y/o a la organización de controles de seguridad de la información. 

Definir nombres para las celdas no basta, ¡hay que poner manos a la obra! En GACS hemos hecho decenas de declaraciones de aplicabilidad exitosas, así que te contamos nuestro método paso a paso para que hagas tu SoA sin perder tiempo ni te compliques. 

Paso 1: Identifica tus activos de información y determina a qué amenazas y vulnerabilidades están sometidos, que puedan provocar una violación o pérdida de seguridad de la información. Asigna un valor a cada riesgo del activo, según el impacto potencial de su materialización y su probabilidad de ocurrencia.

Paso 2: Evalúa cada riesgo analizado contra los criterios de aceptación y, cuando aplique, escoge uno o más controles que ayuden a mitigar dicho riesgo. Involucra a las partes interesadas relevantes en la evaluación, como gerentes, equipos de TI, especialistas en seguridad y auditores. ¡Todos cuentan!

Paso 3: Documenta los controles seleccionados en tu formulario de SoA, e indica qué control del anexo A de la norma ISO/IEC 27001: 2022 le corresponde. Continúa revisando otros controles del Anexo A que no hayas considerado en la evaluación de riesgos y que pueden ser aplicables a tu organización. Finalmente, completa tu SoA con controles del Anexo A no aplicables, y justifica cada una de esas inclusiones y exclusiones.

Este paso se debe hacer conociendo el Anexo A. Recordemos que existen 4 temas en los que se agrupan los controles: físicos, organizacionales, de personas y tecnológicos. Puedes usar la guía ISO/IEC 27002: 2022 para ampliar este punto.

Paso 4: Añade documentación sobre los controles implementados. Pueden ser procedimientos, políticas (te recomendamos incluir título, fecha y versión de cada uno), o registros (evidencias). 

Paso 5: Declara en el SoA el estado de implementación (%, nivel, etc.) de cada control incluido. Esto ayuda a la organización a conocer las brechas de implementación existentes.

Paso 6: Presenta el SoA a las partes interesadas pertinentes y haz las modificaciones que el equipo considere. 

Paso 7: Revisa el SoA al menos una vez al año o cada vez que haya cambios en el negocio, nuevos riesgos o actualización de evaluaciones de riesgos de seguridad de la información, incidentes de seguridad, nuevas leyes y/o reglamentos, entre otros. Los mapas no suelen cambiar, pero el SoA sí, puesto que el SGSI es parte de algo mucho más grande: una organización, que a su vez pertenece a un país y que se somete a regulaciones y a la que el contexto no le es ajeno.

Es importante que se utilice un lenguaje claro y comprensible en el SoA y que se mantenga accesible para las partes interesadas, incluyendo auditores externos. 

¿SoA listo? Ya puedes contar con la relación entre los controles de la norma y lo que realmente se hace en la empresa para preservar la información. Estás contribuyendo con la identificación, organización y registro de las medidas de seguridad implantadas.

 Las celdas están pobladas ahora, no son casillas vacías, las llenaron tu trabajo y el de tu equipo. Avanzaron hacia la confidencialidad, integridad y disponibilidad, harán que el trabajo de los ciberdelincuentes sea más difícil y allanarán el camino de quienes protegen la información como baluarte del éxito organizacional. 

Contenido relacionado

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Abrir chat
GACS
Hola.
Te queremos asesorar, escríbenos para más.
Expertos en Sistemas de Gestión
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.