Declaración de Aplicabilidad (SoA): ¿Qué utilidad tiene?

Inicio / Declaración de Aplicabilidad (SoA): ¿Qué utilidad tiene?

4.2/5 - (32 votos)

Declaración de Aplicabilidad

La Declaración de Aplicabilidad es un elemento básico que establece los controles necesarios para gestión de riesgos.

A la Declaración de Aplicabilidad también se le conoce en inglés como Statement of Applicability o SoA.

Si tomamos de referencia la norma ISO 27001 para los Sistemas de Gestión de Seguridad de Información, su anexo A incluye un total de 133 controles. Las organizaciones no tienen por qué implementar y mantener todos estos controles en su sistema. Es labora de las entidades, seleccionar aquellos controles que desean establecer y mantener en el futuro.

Aunque la ISO 27001 tenga en consideración 133 controles, también es importante mencionar que una empresa podrá añadir otros controles complementarios a estos. Esto se realizará siempre que considere que hacen falta otros, para lograr los objetivos de la seguridad de la información que se hayan establecido.

Por lo tanto, el SoA contendrá controles imprescindibles para poder desarrollar la gestión de riesgos. Estos controles podrán ser establecidos para que la organización cumpla con ciertos temas normativos obligatorios o para cumplir con los que la propia empresa haya establecido voluntariamente.

El #SoA contendrá controles impresincibles para poder desarrollar la gestión de #riesgos Clic para tuitear

A la hora de implementar un Sistema de Gestión de Seguridad de la Información o SGSI, se deberá:

Establecer un plan de tratamiento de los riesgos que contenga las acciones, responsabilidades, prioridades y los recursos que se van a emplear durante la gestión de estos riesgos de seguridad de la información.
Implementar el plan de tratamiento de riesgos, con el objetivo de lograr las metas de control definidos, teniendo en cuenta las responsabilidades, prioridades y recursos previamente establecidos.
Instaurar los controles identificados según los riesgos para lograr los objetivos de control.
Establecer un sistema que haga posible la obtención de resultados de modo que sea posible medir la eficacia de esos controles o en el caso, grupo de controles.
Diseñar y promulgar programas de formación/capacitación relacionados con la Seguridad de la Información en todos los niveles de la organización.
Realizar la gestión operativa del Sistema de Gestión de Seguridad de la Información (SGSI).
Llevar a cabo una correcta gestión de los recursos que son necesarios y que se han estipulado para implmentar y mantener el Sistema de Seguridad de la Información que puede estar basado o no en la ISO 27001.
Definir los procedimientos y controles que hagan posible una ágil identificación y respuesta de los incidentes que se provoquen en el ámbito de la seguridad de la información.

La gestión de la Seguridad de la Información, más ágil que nunca

Con la Plataforma Tecnológia ISOTools, la gestión de la Seguridad de la Información se realiza de forma correcta y ágil. ISOTools permite identificar las vulnerabilidades y amenazas de los procesos y activos de su organización mediante una matriz de uso intuitivo. Establezca metodologías para la evaluación del riesgo según el modelo que más convenga.
Además, las organizaciones pueden mantener el control de las medidas de seguridad SoA. Con ISOTools se gestiona de forma ágil todos los controles necesarios y la justificación de inclusiones / exclusiones.

El módulo de ISOTools de Declaración de aplicabilidad y evaluación de controles, le permite evaluar el nivel de madurez de los controles que aplican, así como justificar los controles que no aplican a la organización. Una vez evaluados los controles, podremos conocer el GAP que existe desde el nivel de madurez actual hasta el nivel óptimo y generar planes de mejora para aumentar ese nivel de madurez.