Ir al contenido principal

14. Declaración de Aplicabilidad

👉 Esta actividad te ayuda a cumplir el siguiente requisito:

  • ISO 27001 en su versión 2013: 6.1.3

  • ISO 27001 en su versión 2022: 6.1.3

T U T O R I A L

Si lo deseas, puedes ver nuestros vídeos con velocidad de 1.2x 🤓

L E C T U R A

¿Para qué me sirve esta actividad? 📚

Esta actividad te ayuda a identificar y documentar cuáles son los requisitos y controles de la normativa, en este caso de la ISO 27001 y su anexo A (la ISO 27002), que son aplicables a tu empresa con base al alcance de tu SGSI, los riesgos de seguridad, la infraestructura tecnológica y física, entre otros elementos relevantes.

💡 Este documento llamado Declaración de Aplicabilidad también es conocido como SoA (Statement of Applicability, por sus siglas en inglés).

¿Qué tengo que hacer? 🚀

Para comenzar con la selección de controles aplicables a tu empresa, debes conocer su contexto, el alcance definido del SGSI y el tipo de infraestructura que utilicen. Esto te permite identificar fácilmente el estado de aplicabilidad de algunos requisitos y controles.

Pero una de las cosas más importantes para realizar tu Declaración de Aplicabilidad es ya haber realizado un análisis y evaluación de los riesgos de seguridad, ya que la información obtenida de dicho análisis te permite identificar tus necesidades de seguridad, y por ende, los controles que debes implementar para cubrirlas y mitigar los riesgos encontrados.

💡 Este análisis y evaluación de riesgos lo realizas en la actividad 13 de nuestro plan de acción.

Dentro de nuestro template encontrarás el listado completo de los requisitos y controles con toda la información relevante que nos brinda la normativa, por lo que lo único que debes hacer para completar la actividad es lo siguiente:

  1. Indicar si el control aplica o no.

  2. Indicar la justificación adecuada.

    1. Si la respuesta es “Sí aplica”, debes indicar la justificación de la inclusión; generalmente es para mitigar riesgos de seguridad. Dentro del template encontrarás algunos ejemplos de justificaciones pero es muy importante que los ajustes al contexto real de tu empresa 🎯.

    2. Si la respuesta es “No aplica”, debes indicar la justificación de la exclusión; generalmente es porque no cuentan con ese tipo de infraestructura, porque no realizan ese tipo de operaciones, entre otras cosas. También dentro del template encontrarás algunos ejemplos de justificaciones pero es muy importante que los ajustes al contexto real de tu empresa 🎯.

      💡 Recuerda que debes indicar sólo un tipo de justificación dependiendo de la aplicabilidad, no debes indicar ambas para un mismo control.

  3. Indicar la frecuencia de revisión con la que verificarás que la aplicabilidad del control siga vigente y que se encuentre implementado correctamente.

    1. Puede ser mensual, trimestral, semestral, anual, etcétera.

  4. Indicar el estado del control, es decir si ya se encuentra implementado, está en proceso o aún no se han realizado acciones para su implementación.

    1. Esto te permite tener visibilidad de qué hace falta realizar para estar en cumplimiento normativo.

Cada uno de estos aspectos corresponde a una columna dentro de nuestro template, las cuales se pueden ver de la siguiente manera:

💡 Dentro del template encontrarás instrucciones, recomendaciones y ejemplos que te ayudarán a que su llenado sea muy sencillo.

Ejemplo de inclusión

En el análisis de riesgo de nuestra empresa identificamos que hay un riesgo de robo o fuga de información ocasionado por una inadecuada segregación de funciones.

Para este caso, todos los controles relacionados a la gestión de accesos de la norma son aplicables, ya que nos indican que debe haber solicitudes formales para la provisión de accesos, autorizaciones adecuadas por las personas responsables de los sistemas, análisis de los roles y permisos necesarios, entre otras cosas que nos permiten mitigar el riesgo de robo o fuga de información.

Ejemplo de exclusión

Ahora bien, analizando el contexto de nuestra empresa identificamos que toda nuestra infraestructura se encuentra en la nube y sobre herramientas tecnológicas, y que no contamos con ningún tipo de instalaciones ni servidores o elementos físicos que requieran protección, por lo tanto, cualquier control que haga referencia a la seguridad física no será aplicable para nosotros.

Es importante recordar que la aplicabilidad de los controles puede cambiar durante el tiempo por varios factores, como por ejemplo:

  • Los resultados de nuevos análisis y evaluaciones de riesgos.

  • Cumplimiento de nuevos requisitos legales y/o contractuales.

  • Nuevas necesidades del negocio.

  • Implementación de mejora continua.

  • Cambios organizacionales significativos, etcétera.

¡Es muy importante mantener actualizado este documento para que se encuentre alineado al contexto real de tu empresa y para conservar el cumplimiento normativo! Recuerda también que dentro de tu enunciado de alcance del SGSI se menciona la versión de la declaración de aplicabilidad en la que se basa, por lo que es de suma importancia validar que el enunciado tenga la versión más reciente y vigente que exista de tu declaración.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Para mantener un control de versiones adecuado, utiliza nuestro módulo de Documentos. Además, puedes ingresar a una actividad dentro de nuestro módulo de Implementación para encontrar los controles que dicha actividad te ayuda a cumplir.

  • Los controles tienen enfoques diferentes; tecnología, recursos humanos, físicos, administrativos, etcétera por lo que es muy importante que te apoyes de todas las áreas que consideres necesarias para que su aplicabilidad realmente esté adaptada al contexto real de tu organización.

FAQs ❔

Consulta las preguntas frecuentes sobre esta actividad en el siguiente artículo.

¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
15. Minuta de Sesión de Comité de Seguridad
Cómo hacer tu declaración de aplicabilidad
FAQs - 14. Declaración de Aplicabilidad
Declaración de Aplicabilidad (SoA para SGIA)
Declaración de Aplicabilidad (SoA)
¿Ha quedado contestada tu pregunta?