La seguridad de la información se está convirtiendo en un componente cada vez más importante en las empresas ya que la información es la base para la toma de decisiones en la era digital. Por otra parte, la legislación está comenzando a exigir el correcto manejo y control de la información personal, convirtiéndose en un aspecto importante a cuidar en la empresa.
Estos factores ( importancia de la información y cambios en la legislación) han complejizado la gestión de la información para las áreas de tecnología de la empresa, ya que mantener la información disponible y segura puede llegar a tomar un tiempo y esfuerzo considerables. Depende de como realices la implementación de las medidas de seguridad, puedes llegar a tener resultados diferentes y que se alejen del ideal que teníamos establecidos. Por lo anterior, es importante tener en cuenta la declaración de aplicabilidad que lo que permite es de manera exhaustiva y completa, proporcionar los elementos básicos en la gestión de la información.
¿Qué es una Declaración de Aplicabilidad?
En este punto la declaración de aplicabilidad, es un documento o checklist que nos permite establecer los controles que debe implementar para mantener la información segura, disponible y confiable.
El SoA, declaración de aplicabilidad, establece qué controles y políticas ISO 27001 está aplicando la organización. Se compara con el control del Anexo A establecido en el estándar ISO 27001 y se encuentra en el 6.1.3 de los requisitos principales para ISO 27001, que es parte del 6.1 más amplio, centrado en acciones para abordar riesgos y oportunidades.
Por lo tanto, el SoA es una parte integral de la documentación ISO 27001 obligatoria, que debe presentarse a un auditor externo cuando el SGSI se somete a una auditoría independiente.
Características de una declaración de aplicabilidad
De acuerdo con 6.1.3 de ISO 27001, un SoA debe:
- Identificar qué controles ha elegido una empresa para hacer frente a los riesgos que ha identificado
- Explique por qué la organización ha seleccionado estos controles.
- Indique si la empresa ha implementado los controles
- Explicar por qué la organización ha decidido omitir ciertos controles.
- Enlace a la documentación relevante sobre la implementación de cada control que la empresa ha implementado; cada control debe tener su propia entrada
La declaración cuenta con 14 dominios , que en palabras simples, son una serie de categorías que agrupan los controles de seguridad de acuerdo con su naturaleza. Por ejemplo, algunos de los dominios son: la gestión de activos, la criptografía y la gestión de los incidentes de seguridad de la información.
Estos dominios se dividen en objetivos y controles; para un total de 114 controles, que podrás definir si son aplicables a tu organización y cómo y cuándo los implementas (o vas a implementar).
Las 14 categorías de controles ISO 27001 en el Anexo A son:
- Políticas de seguridad de la información
- Organización de la seguridad de la información
- Seguridad de los recursos humanos
- Gestión de activos
- Control de acceso
- Criptografía
- Seguridad física y ambiental
- Seguridad operativa
- Seguridad de las comunicaciones
- Adquisición, desarrollo y mantenimiento de sistemas
- Relaciones con proveedores
- Gestión de incidentes de seguridad de la información
- Aspectos de seguridad de la información de la gestión de la continuidad del negocio
- Conformidad
Ventajas de aplicar una declaración de aplicabilidad
El principal beneficio de un SoA es que proporciona un resumen conciso de tu proceso de gestión de riesgos. Es mucho más fácil de entender que el informe de evaluación de riesgos, que puede ser bastante extenso y, por lo tanto, difícil de manejar cuando se trata del uso operativo diario.
Por lo tanto, el SoA le permite revisar rápidamente sus políticas, procedimientos y otra documentación o sistemas de seguridad de la información que se han aplicado para tratar los riesgos identificados.
En este sentido, el SoA sirve como una hoja de ruta para tu Sistema de Gestión de Seguridad de la Información, ayudándote a mantenerte enfocado y cumpliendo.
Tips para implementar la declaración de aplicabilidad
Para que el proceso de la creación y análisis de la declaración de aplicabilidad no se convierta en una tarea interminable, puedes tener en cuenta los siguientes tips:
1. Identifica dónde estás para que tengas claras las brechas y sepas hacia dónde ir
Imagina que vas a realizar el mercado de tu casa, posiblemente tengas un listado de cosas que tengas que comprar para asegurar que no te falte nada en la casa. Probablemente hayas realizado la lista pensando en diferentes grupos de cosas que necesitas, productos de limpieza, carnes, frutas, verduras, esto lo haces para minimizar que te falte algo y no enloquecer en el supermercado, comprando más o menos de lo que necesitabas.
La declaración de aplicabilidad cumple el mismo rol; es una lista de diferentes controles o aspectos que debe considerar la empresa con el propósito de asegurar la información propia, de los clientes o demás partes interesadas que administra, y es ahí donde radica su importancia.
Si realizamos el análisis de estos 114 aspectos puedes saber lo que tienes, qué te hace falta y qué debes reforzar. Lo anterior, te permite poder priorizar tus próximos pasos para fortalecer la seguridad de la información, y al mismo tiempo, minimizar los riesgos asociados que representan altos costos a las organizaciones cuando se materializan.
De igual manera, la declaración de aplicabilidad o SOA (Statement of Applicability) y sus controles pueden ayudarte a identificar riesgos de seguridad que tal vez no hayas tenido en cuenta; por ejemplo, un acceso no autorizado a la información o un incorrecto manejo de los eventos de seguridad de la información.
2. Arma un equipo; la seguridad de la información es una labor colaborativa
Si quisieras construir una casa, probablemente te tomaría años, ya que sería necesario aprender de muchos conceptos técnicos para que te quede bien construida. Si contratas a personas que ya conozcan de estos temas técnicos, podrás ver reducido el tiempo de implementación de los controles en un alto porcentaje.
Lo mismo ocurre con la declaración de aplicabilidad; probablemente si lo haces sin ningún apoyo te tome años tener claro todos los conceptos técnicos para implementar los diferentes temas que se deben tratar: recursos humanos, criptografía, vulnerabilidades técnicas por poner sólo algunos ejemplos. Si te apoyas en las diferentes áreas de la empresa o incluso en personal especializado externo, puedes disminuir el tiempo de implementación y generar un gran valor para la empresa y sus partes interesadas.
Te invitamos a consultar este webinar: Seguridad digital como elemento estratégico para el crecimiento de las empresas
3. Aplícalo de manera incremental, todo se realiza paso a paso
Es probable que quieras tener ya implementada la declaración de aplicabilidad, pero esto tiene diferentes pasos para poder realizarlo de forma correcta.
El primer paso es simplemente tomar los 114 controles y analizar en ese momento qué tienes actualmente implementado, qué tienes en parcialmente listo, qué realmente está pendiente por implementar y qué realmente no te aplicará dentro de tu sistema de gestión. En este punto no te preocupes por tener todo, sino enfócate en conocer en qué punto estás..
Una vez conocidas las brechas que tienes, debes comenzar a analizar cada uno de los controles que te faltan, a fin de poder priorizarlas. Puedes tomar como criterio de evaluación por ejemplo el impacto que tendría en tu información y tus procesos, qué tan simple es implementar el control o cuál sería el costo-beneficio. Incluso para facilitar tu trabajo, puedes crear un excel donde cuantifiques estos factores de forma que te de un resultado final y te permita tomar decisión.
Una vez seleccionados los controles que comenzarás a implementar, genera un listado de actividades que debes llevar a cabo para implementar los mismos. Esto te será de utilidad sobre todo al mostrar los pasos a seguir a los líderes de procesos o gerentes a los cuales debas comunicar tanto el estado actual como los próximos pasos. Ten en cuenta en esta parte incluir los recursos humanos, financieros, físicos y de otra índole que puedas requerir ya que estos pueden afectar el costo de la implementación de cada control.
4. Recuerda que la declaración es una foto de un momento
Ten presente que el análisis de los controles de la declaración la realizas en un momento dado, pero debes validar periódicamente si los continuas cumpliendo. Adicionalmente ten presente que debes analizar los diferentes cambios que se implementan en tu organización y hacerte estas preguntas: ¿Se impactó o existe nueva información que la empresa esté administrando?¿Existen cambios en nuestros procesos, nuestros centros de trabajo, nuestros servidores que puedan afectar el cumplimiento de la declaración y sus controles?
Si la respuesta a algunas de las preguntas que te hagas es afirmativa, es probable que existan controles de la declaración que se necesiten analizar y replantear, o también que aplique un nuevo control que antes no era requerido. Si este es el caso, vuelve a analizar tu declaración, prioriza y genera los planes de acción necesarios.
Recuerda que la declaración de aplicabilidad y sus controles te ayudan a que la empresa en el día a día mejore y mantenga su información segura. A continuación te invito a descargar un documento general de la declaración de aplicabilidad en EXCEL para que inicies con este proceso de mejorar la seguridad de la información en tu compañía.
¡Recuerda que KAWAK® es tu aliado para cumplir la Declaración de aplicabilidad!
