La Declaración de Aplicabilidad en ISO 27001 (Statement of Aplicability SoA ) es un documento previo a la auditoría de certificación. Al igual que el manual de calidad en ISO 9001, en ISO 27001, este documento suele ser subestimado o tratado como un trámite que alguien debe elaborar.
Sin embargo, la Declaración de Aplicabilidad en ISO 27001 tiene gran relevancia. Este documento define el alcance del sistema de gestión de seguridad de la información. Y también se convierte en la guía para el auditor. Por eso, debe existir antes de la auditoría de certificación y, también, antes de la auditoría interna del sistema.
¿Qué es la Declaración de Aplicabilidad en ISO 27001?
La Declaración de Aplicabilidad es un documento requerido por ISO 27001. Pero no nace con la norma, pues ya existía en su predecesora británica BS 7799-2.
Si la organización pretende implementar un sistema de gestión de seguridad de la información, pero no está interesada en alcanzar la conformidad total con ISO 27001, ni tiene entre sus planes obtener la certificación, la Declaración de Aplicabilidad no es obligatoria. Pero las organizaciones que quieren o necesitan obtener la certificación, sí deben elaborar una Declaración de Aplicabilidad.
La edición vigente del estándar ISO 27001 ofrece varias definiciones sobre lo que es una Declaración de Aplicabilidad. En el capítulo sobre términos y definiciones, nos dice que “es una declaración documentada que describe los objetivos de seguridad, así como las medidas apropiadas y aplicables para el SGSI de una organización”.
Una nota posterior aclara esta definición de la siguiente manera: “los objetivos de seguridad y las medidas de seguridad en sí mismas se basan en los resultados y conclusiones de los procesos de evaluación y tratamiento de riesgos, los requisitos legales o reglamentarios, las obligaciones contractuales y los requisitos comerciales de la organización relacionados con la seguridad de la información”.
El capítulo 4, en la cláusula 4.2.1, ahonda en esta definición: “Se debe desarrollar una Declaración de Aplicabilidad que incluya la siguiente información:
- Los objetivos de seguridad y las medidas de seguridad seleccionadas, y los motivos por los cuales lo fueron.
- Los objetivos de seguridad y medidas de seguridad implementadas actualmente.
- La exclusión de los objetivos de seguridad y las medidas de seguridad especificadas en el Anexo A y la justificación de su exclusión.”
Una nota indica que la Declaración debe proporcionar un resumen de las decisiones de gestión de riesgos y que la justificación de las exclusiones sirve para realizar una verificación cruzada que garantice que no se ha omitido ninguna acción de forma injustificada o inadvertida.
La #DeclaraciónAplicabilidad en ISO 27001 es un documento que guía la auditoría de certificación. Conozcamos su importancia y su utilidad. Share on XLa importancia de la Declaración de Aplicabilidad en ISO 27001
Algunos profesionales de la seguridad de la información pueden pensar que la Declaración de Aplicabilidad es un esfuerzo duplicado, ya que la definición de los controles necesarios ya se presenta en el Informe de Evaluación de Riesgos, que también es documento obligatorio de ISO 27001.
Pero existen razones para la existencia de la Declaración que justifican su importancia:
- La gestión de riesgos define los controles que el sistema requiere, porque ha identificado las amenazas a las que está expuesta la información de la organización. Pero no habla de los controles necesarios para cumplir con requisitos legales, contractuales o de otros procesos, como los de carácter comercial, por ejemplo.
- La Declaración permite justificar la exclusión y argumentar la inclusión de un control, lo cual no se hace en el Informe de Evaluación de Riesgos.
- El Informe es un documento extenso que considera todos y cada uno de los riesgos, que pueden llegar a ser miles, lo que lo convierte en un documento difícil de utilizar en la cotidianidad de la organización. La Declaración de Aplicabilidad, en cambio, apenas remite a los 114 controles del Anexo A, y los adicionales. Y por ello resulta más manejable.
- La Declaración documenta cada control aplicable e indica si se ha implementado o no. Por ello se convierte en una guía muy útil para auditores tanto internos como externos.
En la práctica, el auditor tomará la Declaración de Aplicabilidad en ISO 27001, y con base en ella planificará la auditoría y verificará el cumplimiento de lo documentado. En definitiva, y aunque al parecer no haya sido lo suficientemente valorada, una buena Declaración de Aplicabilidad disminuye de forma notable la necesidad de producir otro tipo de documentos.
Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013
La seguridad de la información es un activo valioso para una organización y agrega valor a su marca. El Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013 recorre todos los requisitos de la norma, los elementos necesarios para crear una cultura de seguridad de la información y las competencias requeridas para implementar y auditar el sistema.
Conviértase en un experto de la seguridad de la información realizando este diplomado aquí.