La importancia de la Declaración de Aplicabilidad en un SGSI

Inicio / La importancia de la Declaración de Aplicabilidad en un SGSI

5/5 - (1 voto)

ISO 27001

La declaración de aplicabilidad o en inglés, Statement of Applicability (SoA) de la ISO 27001 es un elemento fundamental a la hora de implementar un sistema de gestión de seguridad de la información (SGSI) en una organización. Se trata de un documento que relaciona los controles que su utilizan en el sistema de gestión.

La norma ISO 27001 recoge en su anexo A un conjunto de 133 controles, de los cuales, la organización interesada en obtener la certificación de la misma debe seleccionar aquellos controles más adecuados a su actividad, tamaño o sector, para posteriormente, implantarlos y mantenerlos en el tiempo.

La elección de los controles forma parte del Plan de Tratamiento de riesgos. Este plan consiste en definir de una forma clara y concisa cómo se van a implementar los controles, quién será el responsable de ello, cuándo tendrá lugar y cuánto costará. En definitiva, este documento recoge un plan de actuación necesario para coordinar todas las actividades que se desarrollarán en el proyecto de certificación de ISO 27001.

[sociallocker id=»16144″] Un aspecto a tener en cuenta por la organización que desee llevar a cabo una Declaración de aplicabilidad, es que en caso de que decida no aplicar ninguno de los 133 controles, debe ser capaz de demostrar que ha analizado el riesgo de no implantarlos. También puede darse el caso contrario, es decir, que algunos de los controles que se proponen ya estuvieran implementados previamente en la organización o que la empresa considere insuficientes los controles propuesto y decida ampliarlos para garantizar aún más la seguridad de su información.El proceso de implantación de controles es una tarea tediosa, ya que conlleva en la mayoría de los casos la aplicación de nuevas tecnologías y la modificación de conductas en la organización, lo que en algunos casos puede provocar el rechazo por parte del personal.

Una vez seleccionados e implantados los controles para el SGSI, se debe determinar como se va a medir la eficacia de estos controles. Es decir, es necesario medir tanto el alcance de los objetivos establecidos para el SGSI como para como para cada control de la Declaración de aplicabilidad.

Durante la supervisión del SGSI se comparan los objetivos de los controles y la metodología de medición con el fin de verificar si los resultados que se obtienen cumplen con los objetivos previamente establecidos. Si no se cumplen, es evidente que algo está mal y se debe aplicar medidas correctivas y/o preventivas. Estas medidas correctivas deben aplicarse sistemáticamente, es decir, que se detecte el origen de una no conformidad y a continuación, se solucione y se controle de una forma rápida, efectiva y eficaz.
[/sociallocker]

Por último, debemos indicar que para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. ISOTools permite mantener su sistema mediante la automatización de los procedimientos y planes que establece el estándar ISO 27001.