Tips para implementar la declaración de aplicabilidad (incluye modelo en excel)

Andres Felipe
Escrito por Andres Felipe

Descarga gratis guía en excel para implementar la declaración de aplicabilidad de seguridad de la información

La seguridad de la información se está convirtiendo en un componente cada vez más importante en las empresas ya que la información es la base para la toma de decisiones en la era digital. Por otra parte, la legislación está comenzando a exigir el correcto manejo y control de la información personal, convirtiéndose en un aspecto importante a cuidar en la empresa.

Estos factores ( importancia de la información y cambios en la legislación) han complejizado la gestión de la información para las áreas de tecnología de la empresa, ya que mantener la información disponible y segura puede llegar a tomar un tiempo y esfuerzo considerables. Depende de como realices la implementación de las medidas de seguridad, puedes llegar a tener resultados diferentes y que se alejen del ideal que teníamos establecidos. Por lo anterior, es importante tener en cuenta la declaración de aplicabilidad que lo que permite es de manera exhaustiva y completa, proporcionar los elementos básicos en la gestión de la información. 

Software seguridad de la información

En este punto la declaración de aplicabilidad, es un documento o checklist que nos permite establecer los controles que debe implementar para mantener la información segura, disponible y confiable. La declaración cuenta con 13 dominios, que en palabras simples, son una serie de categorías que agrupan los controles de seguridad de acuerdo con su naturaleza. Por ejemplo, algunos de los dominios son: la gestión de activos, la criptografía y la gestión de los incidentes de seguridad de la información. 

Estos dominios se dividen en objetivos y controles; para un total de 114 controles, que podrás definir si son aplicables a tu organización y cómo y cuándo los implementas (o vas a implementar). 

Para que el proceso de la creación y análisis de la declaración de aplicabilidad no se convierta en una tarea interminable, puedes tener en cuenta los siguientes tips:

1. Identifica dónde estás para que tengas claras las brechas y sepas hacia dónde ir

Estado actual declaración de aplicabilidad seguridad información

Imagina que vas a realizar el mercado de tu casa, posiblemente tengas un listado de cosas que tengas que comprar para asegurar que no te falte nada en la casa. Probablemente hayas realizado la lista pensando en diferentes grupos de cosas que necesitas, productos de limpieza, carnes, frutas, verduras, esto lo haces para minimizar que te falte algo y no enloquecer en el supermercado, comprando más o menos de lo que necesitabas.

La declaración de aplicabilidad cumple el mismo rol; es una lista de diferentes controles o aspectos que debe considerar la empresa con el propósito de asegurar la información propia, de los clientes o demás partes interesadas que administra, y es ahí donde radica su importancia.

Si realizamos el análisis de estos 114 aspectos puedes saber lo que tienes, qué te hace falta y qué debes reforzar. Lo anterior, te permite poder priorizar tus próximos pasos para fortalecer la seguridad de la información, y al mismo tiempo, minimizar los riesgos asociados que representan altos costos a las organizaciones cuando se materializan. 

De igual manera, la declaración de aplicabilidad o SOA (Statement of Applicability) y sus controles pueden ayudarte a identificar riesgos de seguridad que tal vez no hayas tenido en cuenta; por ejemplo, un acceso no autorizado a la información o un incorrecto manejo de los eventos de seguridad de la información.

2. Arma un equipo; la seguridad de la información no es una labor colaborativa

Equipo declaración de aplicabilidad seguridad información

Si quisieras construir una casa, probablemente te tomaría años, ya que sería necesario aprender de muchos conceptos técnicos para que te quede bien construida. Si contratas a personas que ya conozcan de estos temas técnicos, podrás ver reducido el tiempo de implementación de los controles en un alto porcentaje.

Lo mismo ocurre con la declaración de aplicabilidad; probablemente si lo haces sin ningún apoyo te tome años tener claro todos los conceptos técnicos para implementar los diferentes temas que se deben tratar: recursos humanos, criptografía, vulnerabilidades técnicas por poner sólo algunos ejemplos. Si te apoyas en las diferentes áreas de la empresa o incluso en personal especializado externo, puedes disminuir el tiempo de implementación y generar un gran valor para la empresa y sus partes interesadas.

Te invitamos a consultar este webinar: Seguridad digital como elemento estratégico para el crecimiento de las empresas

3. Aplícalo de manera incremental, todo se realiza paso a paso

Implementación declaración de aplicabilidad seguridad información

Es probable que quieras tener ya implementada la declaración de aplicabilidad, pero esto tiene diferentes pasos para poder realizarlo de forma correcta.

El primer paso es simplemente tomar los 114 controles y analizar en ese momento qué tienes actualmente implementado, qué tienes en parcialmente listo, qué realmente está pendiente por implementar y qué realmente no te aplicará dentro de tu sistema de gestión. En este punto no te preocupes por tener todo, sino enfócate en conocer en qué punto estás..

Una vez conocidas las brechas que tienes, debes comenzar a analizar cada uno de los controles que te faltan, a fin de poder priorizarlas. Puedes tomar como criterio de evaluación por ejemplo el impacto que tendría en tu información y tus procesos, qué tan simple es implementar el control o cuál sería el costo-beneficio. Incluso para facilitar tu trabajo, puedes crear un excel donde cuantifiques estos factores de forma que te de un resultado final y te permita tomar decisión.

Lee también: Consejos prácticos para mejorar la ciberseguridad en tu empresa

Una vez seleccionados los controles que comenzarás a implementar, genera un listado de actividades que debes llevar a cabo para implementar los mismos. Esto te será de utilidad sobre todo al mostrar los pasos a seguir a los líderes de procesos o gerentes a los cuales debas comunicar tanto el estado actual como los próximos pasos. Ten en cuenta en esta parte incluir los recursos humanos, financieros, físicos y de otra índole que puedas requerir ya que estos pueden afectar el costo de la implementación de cada control.

4. Recuerda que la declaración es una foto de un momento

Revisión declaración de aplicabilidad seguridad información

Ten presente que el análisis de los controles de la declaración la realizas en un momento dado, pero debes validar periódicamente si los continuas cumpliendo. Adicionalmente ten presente que debes analizar los diferentes cambios que se implementan en tu organización y hacerte estas preguntas: ¿Se impactó o existe nueva información que la empresa esté administrando?¿Existen cambios en nuestros procesos, nuestros centros de trabajo, nuestros servidores que puedan afectar el cumplimiento de la declaración y sus controles?

Si la respuesta a algunas de las preguntas que te hagas es afirmativa, es probable que existan controles de la declaración que se necesiten analizar y replantear, o también que aplique un nuevo control que antes no era requerido. Si este es el caso, vuelve a analizar tu declaración, prioriza y genera los planes de acción necesarios.

Recuerda que la declaración de aplicabilidad y sus controles te ayudan a que la empresa en el día a día mejore y mantenga su información segura. A continuación te invito a descargar un documento general de la declaración de aplicabilidad en EXCEL para que inicies con este proceso de mejorar la seguridad de la información en tu compañía.

 

Nueva llamada a la acción

¿Te gustó el artículo? Nuestros lectores también leen los siguientes:

Suscríbete aquí a nuestro blog:

Publicaciones recientes

Solicita un demo gratis