Seguridad

¿Qué es la declaración de aplicabilidad, SOA? y ¿Cuál es su utilidad?

🕑 4 minutos de lectura

¿Qué es SoA, Declaración de Aplicabilidad?

La Declaración de Aplicabilidad (SoA por sus siglas en inglés, Statement of Applicability) de la norma ISO 27001, de Sistemas de Gestión de Seguridad de la Información (SGSI), es un documento formado por la relación completa de los controles de seguridad de la información evaluables, que se indican en el anexo A de la norma.

En ella la organización indica si cada uno de ellos es de aplicación o no, detallando los motivos y su estado de implantación.

Aunque el Anexo A es la referencia para la implantación de medidas de protección de la información, la organización puede añadir otros controles y objetivos de control si lo considera necesario.

gss-contacto-laptop-fondo

¿En qué punto del proceso de implantación del Sistema de Gestión de Seguridad de la Información se desarrolla la SoA?

Una vez realizados el análisis y evaluación de riesgos, la organización debe definir las opciones de tratamiento para los riesgos y aplicar las medidas de seguridad a tomar para mitigarlos. Es en este punto cuando habitualmente se desarrolla el documento SoA, donde registrar los controles de seguridad que son aplicables.

 

Ejemplo: si a partir de la evaluación de riesgos, se identifica la necesidad de aplicar un control contra malware, se definirá un plan de tratamiento consistente en la adquisición, configuración e instalación de software antivirus, fechas de implantación, asignación de recursos, etc. Una vez implantado, se deberá registrar en la Declaración de Aplicabilidad la justificación de su implantación y las referencias necesarias a los procedimientos o controles técnicos implementados.

Características de la SoA

El documento SoA puede registrarse en el formato que considere más conveniente la organización, lo realmente importante es su contenido, que generalmente incluirá:

  • los controles del estándar,
  • si aplican o no y sus justificaciones,
  • su estado de implementación,
  • documentación relacionada (procedimientos, evidencias, etc.),
  • todos aquellos datos adicionales que puedan ser considerados necesarios registrar.

Importancia y ventajas de la SoA

  • La SoA permite la trazabilidad entre los controles de la norma y lo que realmente se hace en la organización, proporcionando así una visión amplia de lo que está realizando la organización para proteger su información, y contribuyendo a la identificación, organización y registro de las medidas de seguridad implantadas.
  • Permite justificar la inclusión o exclusión de cada control, aspectos que no se incluyen en el informe de Evaluación de Riesgos.
  • Las organizaciones que desarrollan e implantan un Sistema de Gestión de Seguridad de la Información (SGSI), y que quieran obtener la certificación para la norma ISO 27001, deberán contar obligatoriamente con el documento SoA.
  • Al documentar cada control aplicable e indicar si se ha implementado o no, se convierte en la guía principal para auditores tanto internos como externos. En general, el auditor accederá a la declaración de Aplicabilidad, y en base a ella desarrollará la auditoría y verificará el cumplimiento de lo documentado.

Revisión y actualización

  • La SoA es un documento vivo, que debe ser revisado y aprobado por la máxima autoridad de Seguridad de la organización, y actualizado cuando se produzca alguna de las siguientes situaciones, que supongan aplicar nuevos controles de seguridad o revisar los ya implantados:
    • Nueva información, generada internamente, cedidas por terceros (clientes, proveedores, etc) o relacionada con el cumplimiento normativo o legislativo.
    • La adquisición o sustitución de activos que contengan o gestionen información (dispositivos móviles, software, proveedores, nuevas tecnologías de comunicación, etc), que pueden suponer la aparición de nuevas amenazas y vulnerabilidades.
    • Cambios organizativos u operacionales que supongan un cambio en la gestión de la información.
    • Cambios en el contexto o las necesidades o requisitos de las partes interesadas: exigencia de contratos o cláusulas de confidencialidad, aparición de nuevas leyes o reglamentos, ampliación a nuevos mercados, nuevas amenazas de ciberseguridad, etc.

    Es necesario llevar un control de versiones de las Declaraciones de Aplicabilidad que vayamos realizando, registrando los cambios realizados.

En GlobalSuite Solutions ofrecemos la ayuda y el asesoramiento necesarios para la implementación de su Sistema de Gestión de Seguridad de la Información (SGSI).

Además, contamos con el software GlobalSuite®, íntegramente desarrollado por nuestro equipo, permite la implantación, gestión y mantenimiento de todos los requisitos exigidos por la norma ISO 27001 en todo tipo de organizaciones y sectores.