ISO/CEI 27001

Declaración de aplicabilidad (SoA): la guía completa

Logre ISO 27001 de forma sencilla con ISMS.online

Verlo en acción
Por Max Edwards | Actualizado el 14 de marzo de 2024

La Declaración de Aplicabilidad (SoA) forma una parte fundamental de su sistema de gestión de seguridad de la información (SGSI). El SoA es uno de los documentos más importantes que deberá desarrollar para obtener la certificación ISO 27001. En esta guía cubriremos qué es y qué incluir al crear uno.

Saltar al tema

¿Qué es una Declaración de Aplicabilidad?

En pocas palabras, en su búsqueda por proteger los valiosos activos de información y gestionar las instalaciones de procesamiento de información, la SoA establece qué controles y políticas ISO 27001 está aplicando la organización. Se compara con el control del Anexo A establecido en la norma ISO 27001 (descrito en la parte posterior de ese documento de normas ISO como objetivos y controles de control de referencia).

La declaración de aplicabilidad se encuentra en el 6.1.3 de los principales requisitos de la Norma ISO 27001, que forma parte del 6.1 más amplio, centrado en acciones para abordar riesgos y oportunidades.

Por lo tanto, el SoA es una parte integral de la documentación obligatoria ISO 27001 que debe presentarse a un auditor externo cuando el SGSI se somete a una auditoría independiente, por ejemplo, por parte de un organismo de certificación de auditoría UKAS.

¿A quién se aplica la ISO 27001?

ISO 27001 es aplicable a todo tipo y tamaño de organizaciones, incluidas empresas públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro. El hilo común, independientemente del tamaño, tipo, geografía o sector de la organización, es que la organización busca demostrar las mejores prácticas en su enfoque de la gestión de la seguridad de la información. Por supuesto, las mejores prácticas pueden interpretarse de forma diferente.

La norma ISO tiene que ver con el desarrollo de un sistema para la gestión del riesgo de seguridad de la información. Entonces, dependiendo del apetito de los líderes de la organización por el riesgo de la información y el alcance de los activos para abordar los riesgos, los controles y políticas aplicados pueden variar considerablemente de una organización a otra, y aún así cumplir con los objetivos de control de ISO 27001.

Sin embargo, lo que está claro es que el logro de la certificación ISO 27001 a través de una auditoría independiente de un organismo de certificación ISO aprobado significará que la organización ha alcanzado un nivel reconocido de control (las mejores prácticas como estándar) para los activos de información y las instalaciones de procesamiento.

La certificación ISO 27001 brinda a las partes interesadas, como clientes y prospectos poderosos, un mayor nivel de confianza que los métodos desarrollados por ellos mismos o estándares alternativos que no cuentan con la misma auditoría independiente o reconocimiento internacional.

Descargar gratis

Consigue tu guía para
Éxito de ISO 27001

Todo lo que necesita saber para lograr la norma ISO 27001 por primera vez

Obtén tu guía gratis

¿Por qué es importante el SoA?

Junto con el Alcance del sistema de gestión de seguridad de la información (4.3 de ISO 27001), el SoA proporciona una ventana de resumen de los controles utilizados por la organización. El SoA es un requisito fundamental para lograr la certificación ISO del SGSI y, junto con el alcance, será una de las primeras cosas que un auditor buscará en su trabajo de auditoría.

Esta documentación deberá estar disponible para su revisión durante la auditoría de certificación de la Etapa 1, aunque solo se profundizará durante la auditoría de la Etapa 2, cuando el auditor probará algunos de los controles de ISO 27001 y se asegurará de que no solo describan, sino que demuestren adecuadamente. se están logrando los objetivos de control.

El auditor revisará el inventario de activos de información, considerará los riesgos, su evaluación y tratamientos, y buscará evidencia física de que la organización ha implementado satisfactoriamente los controles que afirma para abordar el riesgo.

SoA y Scope cubrirán los productos y servicios de la organización, sus activos de información, instalaciones de procesamiento, sistemas en uso, personas involucradas y procesos de negocio, ya sea una empresa virtual de una sola persona o una operación internacional de múltiples sitios con miles de empleados.

Los clientes poderosos y educados con un riesgo de información significativo (por ejemplo, debido al GDPR u otros activos de información comercial) pueden querer ver el alcance y el SoA antes de comprar a un proveedor, para asegurarse de que la certificación ISO de hecho aborde las áreas del negocio involucradas con sus activos.

¡No sirve de nada tener una certificación ISO con alcance y SoA para una oficina central en el Reino Unido cuando el riesgo real de procesamiento de información se produce en un edificio en el extranjero con recursos fuera de alcance! En realidad, esa es una de las razones por las que los organismos de certificación ahora alientan los Ámbitos de "toda la organización", lo que por supuesto puede significar que se requiere una declaración de aplicabilidad mucho más amplia y profunda.

En resumen, un SoA bien presentado y fácil de entender muestra la relación entre los controles del Anexo A aplicables e implementados dados los riesgos y activos de información dentro del alcance. Le dará una gran confianza al auditor u otra parte interesada de que la organización está tomando en serio la gestión de la seguridad de la información, especialmente si todo eso se integra en un sistema holístico de gestión de la seguridad de la información.

¿Qué es el Anexo A ISO 27001?

El Anexo A de ISO 27001 es un catálogo de los objetivos y controles de control de seguridad de la información que deben considerarse durante la implementación de ISO 27001. El término técnico utilizado para ISO se refiere a la "justificación" del control. El SoA mostrará si el control del Anexo A es:

  • Aplicable e implementado como control ahora
  • Aplicable pero no implementado como control (por ejemplo, podría ser parte de una mejora para el futuro y capturarse en 10.2 como parte de una mejora, o el liderazgo está preparado para tolerar el riesgo dadas sus otras prioridades de control implementadas)
  • No aplicable (tenga en cuenta que si algo se considera no aplicable, el auditor buscará comprender por qué es así, por lo que también se debe mantener un registro documentado al respecto en el SoA).

Los controles deben revisarse y actualizarse periódicamente durante el transcurso del ciclo de vida de tres años de la certificación ISO. Esto es parte de la filosofía de mejora continua de la gestión de la seguridad de la información incorporada en el estándar. Dado el creciente ritmo de crecimiento de los delitos cibernéticos, la seguridad cibernética también avanza rápidamente, por lo que cualquier cosa que no sea una revisión anual de los controles podría aumentar potencialmente la exposición de la organización a las amenazas.

¿Cuántos controles hay en la ISO 27001?

Hay 114 controles del Anexo A divididos en 14 categorías diferentes. Los controles del Anexo A de ISO 27001 se enumeran a continuación.

¿Qué controles debo incluir?

La Declaración de Aplicabilidad es el vínculo principal entre su evaluación de riesgos de seguridad de la información y su trabajo de tratamiento, y muestra "dónde" ha elegido implementar controles de seguridad de la información de los 114 objetivos de control. (Un buen SoA también podrá profundizar para mostrar "cómo" se han implementado).

Si bien los controles del Anexo A proporcionan una lista de verificación útil para su consideración, simplemente implementar los 114 controles desde "abajo hacia arriba" puede resultar costoso y no alcanzar los objetivos fundamentales de la norma. Lamentablemente, algunos consultores y proveedores de seguridad de la información que venden 'kits completos de herramientas de documentación ISO 27001' defenderán este enfoque, pero es la forma incorrecta de gestionar la seguridad de la información.

Hay una razón por la cual los requisitos básicos de ISO 27001 desde 4.1-10.2 están ahí. Ayudan a que la organización adopte un enfoque basado en el negocio y la estrategia, desde arriba hacia abajo. Habiendo considerado los problemas, las partes interesadas, el alcance y los activos de información, la organización puede identificar los riesgos, luego evaluarlos y considerar tratamientos para esos riesgos.

Los riesgos relacionados con la información valiosa y las instalaciones de procesamiento, los dispositivos, las personas involucradas, etc. deben evaluarse teniendo en cuenta la Confidencialidad, Integridad y Disponibilidad (CIA) de la información.

Este desglose de la CIA también es un aspecto importante que el auditor debe comprender y demuestra que la organización ha considerado el riesgo de manera más integral. Fundamentalmente, también significa que el SoA se ha desarrollado con ese enfoque más integral, en lugar de solo una parte, por ejemplo, considerando solo el riesgo de pérdida de información debido a una violación.

Si bien la organización considerará los riesgos de sus operaciones tal como se detallan anteriormente, vale la pena mencionar que una de las áreas de control del Anexo A que siempre será aplicable es la "Identificación de la legislación aplicable y los requisitos contractuales" en A.18.1.1. . Esto significará que también tendrá en cuenta los requisitos de las leyes, reglamentos y requisitos contractuales pertinentes. Esto está ganando mucha más importancia debido al RGPD de la UE para quienes procesan información de ciudadanos de la UE y cada vez más en todo el mundo también con otros estándares de privacidad como POPI en Sudáfrica, LGPD en Brasil y CCPA en California.

Al comprender las expectativas de las regulaciones de privacidad, también dicta efectivamente que muchos de los controles ISO 27001 son necesarios, ya sea que usted crea que lo son o no. Por lo tanto, un auditor inteligente esperará comprender la legislación aplicable que afecta a su organización y cómo eso también influye en su elección de los controles aplicables en la justificación de la SoA.

Por supuesto, algunos riesgos de seguridad de la información podrían eliminarse por completo, transferirse a otra parte, tratarse o tolerarse. Todos esos controles del Anexo A le ayudarán a considerar y, cuando corresponda, implementar la filosofía de transferencia, tratamiento o tolerancia en torno a los riesgos. Luego, el SoA muestra qué medidas de seguridad de los controles del Anexo A está utilizando y cómo las ha implementado, es decir, sus políticas y procedimientos.

Los objetivos de control del Anexo A y los controles enumerados en la norma ISO 27001 no son prescriptivos, pero deben considerarse y esa justificación de aplicabilidad es esencial para una certificación independiente de un organismo de certificación ISO.

Obtenga una ventaja inicial del 81%

Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.

Reserve una demostración

ISO 27002 y la Declaración de Aplicabilidad

Ya sea que la certificación independiente sea un objetivo o tal vez simplemente el cumplimiento cuando se combina con la guía complementaria ISO 27002, los controles del Anexo A son una base positiva sobre la cual construir cualquier organización que desee mejorar su postura de seguridad de la información y hacer negocios de manera más segura.

ISO 27002, es la norma complementaria a ISO 27001, proporciona un código de prácticas y un esquema útil para los controles de seguridad de la información y, por lo tanto, proporciona un muy buen catálogo de objetivos de control y controles para el tratamiento de riesgos, así como orientación sobre cómo implementarlos.

Las medidas de seguridad (controles del Anexo A) que implemente para gestionar esos riesgos dependerán en realidad de su organización, su apetito por el riesgo y el alcance, así como de la legislación aplicable. Pero sea lo que sea, debe presentarse en la Declaración de Aplicabilidad si desea obtener una certificación ISO 27001.

¿Qué información debe incluirse en el SoA?

Entonces, resumamos qué información debe incluirse como mínimo para el SoA.

  • Una lista de los 114 controles del Anexo A
  • Si el control se implementa o no.
  • Justificación de su inclusión o exclusión
  • Una breve descripción de cómo se implementa cada control aplicable, con referencia a la política y control que lo describe con el detalle adecuado.

Como se mencionó anteriormente, el SoA es una ventana al SGSI de la organización. Si no puede mostrar cómo se abre esa ventana a la naturaleza profunda y conectada del sistema de gestión de seguridad de la información, eso puede crear problemas. Imagine la situación en la que aparece el auditor y la hoja de cálculo que muestra los 114 controles está muy desactualizada con respecto a los controles de gestión reales implementados.

Una de las razones más comunes para no aprobar una auditoría ISO 27001 es que el auditor no puede confiar en la administración del SGSI y la documentación está mal gestionada o falta. Tener un 'documento' SoA independiente en lugar de una documentación integrada y automatizada de un SoA aumenta ese riesgo.

¿Cómo se crea la Declaración de Aplicabilidad?

Siempre que el SoA tenga la información correcta, sea preciso y esté actualizado, puede crear el SoA a partir de papel, hojas de cálculo, documentos o sistemas profesionales que lo automaticen como parte de su capacidad más amplia de GRC (Gobernanza, Regulación y Cumplimiento). .

En un mundo ideal, su SoA difícilmente cambiará (sobre todo porque los organismos de certificación pueden cobrar por los cambios de versión del SoA). Sin embargo, lo que se encuentra debajo del SoA, es decir, el corazón palpitante del SGSI mismo, debe ser dinámico como una representación viva de su panorama de seguridad de la información en evolución.

El SoA debe revisarse cuando se revisan sus políticas y controles (al menos una vez al año), por lo que aun así se beneficiaría de ser un proceso eficiente dados los 114 controles a considerar.

Crear una hoja de cálculo con los controles como lista de verificación es pan comido y bastante rápido de hacer. Sin embargo, no es tan sencillo hacerlo con la confianza de que toda la planificación e implementación de seguridad de la información anterior en torno a los activos, riesgos y controles se ha realizado en el orden correcto y se ha expresado como un resumen de SoA. Un auditor querrá ver qué hay debajo de la simple línea superior de 114 filas en una hoja de cálculo.

En los viejos tiempos, presentar el SoA como un documento detallado de 200 páginas realmente significaba mucho trabajo, especialmente para mantenerlo actualizado a medida que evolucionaban las políticas y los controles. Ahora existen formas mucho mejores y más sencillas de automatizar SoA y aprovechar el arduo trabajo ya realizado en otras partes del ISMS.

Cómo ahorrar tiempo al redactar su Declaración de Aplicabilidad

Por lo general, a una organización le lleva mucho tiempo elaborar el SoA debido a lo que lo informa. Si pensamos en los pasos involucrados en su creación y el trabajo necesario para ello, no es de extrañar:

  • Considere los problemas, las partes interesadas y el alcance del SGSI.
  • Identificar los activos de información y las instalaciones y dispositivos de procesamiento en riesgo.
  • Evaluar y valorar los riesgos asociados a la seguridad de la información utilizando la Confidencialidad, Integridad y Disponibilidad
  • Evaluar esos riesgos y luego decidir cuáles de los 114 controles del Anexo A son necesarios
  • Comprender y evaluar la legislación aplicable (y cualquier obligación contractual clave de clientes poderosos) para resaltar otras áreas de control.
  • Decidir cómo implementar el control en términos de política, procedimiento, personas, tecnología, etc.
  • Luego, cree el documento SoA con las justificaciones claras sobre la aplicabilidad.
  • Lo ideal es vincular los detalles de control, los riesgos y los activos para mostrar que el SGSI funciona
  • Y gestionarlo de forma continua.

    El SoA es una parte pequeña pero muy importante de un SGSI muy completo. Si se hace bien, preparará a la organización para el éxito de las auditorías y la creación de confianza para los clientes inteligentes y otras partes interesadas. Si se hace mal, es casi seguro que interrumpirá y retrasará el tiempo necesario para obtener la certificación y puede significar la pérdida de negocios u oportunidades futuras por no lograr o mantener la certificación.

Acelere el proceso de SoA con ISMS.online

ISMS.online es un sistema integral de gestión de seguridad de la información que, entre muchas otras cosas, facilita la administración y gestión de sus activos de información, riesgos, políticas y controles, todo en un solo lugar.

También significa que la creación de SoA se puede automatizar y presentar de forma sencilla y eficiente. Por lo tanto, además de otros beneficios, como que cuesta menos tiempo lograr el éxito de ISO 27001, también acelera el proceso de certificación ISO.

Concentre su energía en administrar su negocio de la manera que desea y dedique tiempo a lo que necesita lograr para tener éxito, preocupándose menos por cómo hacerlo. ISMS.online hace que sea muy fácil realizar su trabajo, incluido SoA, a una fracción del costo y el tiempo de las alternativas.

Reserve una demostración de la plataforma
solución completa de cumplimiento

¿Quieres explorar?
Comienza tu prueba gratuita.

Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer

Más información

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más