Con nuestro template para crear tu declaración de aplicabilidad, acabarás rápidamente la actividad y con altas probabilidades de cumplir con el requisito.
NOTA: El documento, y nuestro ejemplo práctico se basan en controles de la ISO 27002 para dar cumplimiento al SGSI implementado. Sin embargo, puedes incluir e implementar cualquier otro control o medida de seguridad, privacidad, continuidad, etcétera, que consideres pertinente para fortalecer a tu organización.
A continuación te explicaremos paso a paso cómo llenar nuestro plantilla de declaración de aplicabilidad.
Desarrollo del documento
Lo primero que debemos hacer es comprender a qué se refiere cada una de las columnas mostradas en nuestro template, y qué debemos colocar en ellas.
Cláusula:
Muestra la cláusula (dominio) al que pertenece el control dentro de la normativa.
Pertenecen a una sección en específico del Anexo A de la ISO 27001 que tiene como propósito desglosar una serie de controles relacionados.
Objetivo de control:
Muestra el objetivo general o tema asociado al control dentro de la normativa.
Esta subsección tiene como propósito señalar lo que se debe lograr, y agrupar los controles que se complementan entre sí.
Control:
Muestra el nombre y número del control; es tal cual su identificador.
¿Aplica?:
Aquí debes indicar si el control es aplicable o no a la implementación del SGSI de tu empresa.
Detalle de los controles:
En este punto debes colocar información relacionada al cumplimiento del control dentro de tu empresa. Es decir, cómo lo vas a implementar.
Justificación de la inclusión/exclusión:
Aquí hay que establecer los motivos de por qué el control es incluido o excluido dentro de tu SGSI (más adelante te explicamos un poco más sobre cómo podemos definir esto).
Frecuencia de revisión:
Define aquí la frecuencia o periodicidad con la que el control será revisado para validar su eficacia y eficiencia.
¿Control implementado?:
En esta sección se indica si el control ya fue implementado en su totalidad dentro de tu empresa.
Ahora veremos un ejemplo práctico de cómo llenar la plantilla correctamente.
Columnas: Cláusula, Objetivo de control y Control
Las tres primeras columnas de nuestro template cuentan ya con toda la información de los controles, proporcionada por la misma normativa. Por tal razón éstas no deben de ser modificadas.
El documento se ve de la siguiente manera:
Columna: ¿Aplica?
En esta columna es dónde ya podemos comenzar a trabajar.
Nuestro template te sugiere sólo 2 posibles respuestas; Sí o No. Aquí vamos a indicar si el control aplica o no aplica para nuestro SGSI.
Recuerda que la aplicabilidad es el resultado de los riesgos identificados en tu Matriz de Riesgos, y el plan de mitigación de los mismos. Es decir que, una vez identificados los riesgos asociados a tus activos, tendrás que analizar qué controles de la norma te pueden ayudar a mitigarlos correctamente.
Para nuestro ejemplo, decimos que los controles del A.5.1.1 al A.6.1.4 sí son aplicables para nuestra empresa.
Columna: Detalle de los controles
En esta columna vamos a documentar cómo es que estamos cumpliendo con el control.
Nuestro template ya cuenta con respuestas predeterminadas. Sin embargo, las debes actualizar y ajustar al contexto y/u operación de tu empresa.
Continuando con nuestro ejemplo, decimos que para cumplir con el control A.5.1.1, nuestra empresa ya cuenta con una política de seguridad de la información implementada y formalizada, la cual es conocida por todos los colaboradores.
NOTA: Si aún no cumples con el control, habrá que indicarlo, describiendo brevemente la situación actual de tu empresa relacionada a ese control.
Por otro lado, para cumplir con el control A.5.1.2 aclaramos que nuestra política es revisada y actualizada anualmente.
Y así sucesivamente con cada uno de los controles de la norma que son aplicables a tu empresa; tienes que documentar las acciones, documentos y/o actividades que hacen que dicho control esté en cumplimiento dentro de la empresa.
Columna: Justificación de la inclusión/exclusión
Esta columna es muy importante, ya que vamos a documentar por qué decidimos implementar o no dichos controles.
Al igual que en la columna anterior, nuestro template ya cuenta con respuestas predeterminadas que deben ser actualizadas y ajustadas al contexto u operación de tu empresa.
Continuando con nuestro ejemplo; señalamos la justificación de aplicabilidad para el control A.5.1.1 y A.5.1.2.
El control A.5.1.1 nos indica que debemos definir un conjunto de políticas de seguridad de la información, de acuerdo al SGSI definido, los requisitos comerciales del negocio y a las leyes vigentes del lugar donde operemos.
Mientras que el control A.5.1.2 nos indica que debemos revisar periódicamente dichas políticas y actualizarlas cuando sea necesario.
Con esto, justificamos la aplicabilidad de estos controles al explicar que existe un requerimiento normativo para contar con una política de seguridad de la información detallada y completa.
Y así sucesivamente, con cada uno de los controles debemos explicar brevemente el porqué son incluidos o excluidos de nuestro SGSI.
Hackmetrix insight: Una justificación de no aplicabilidad puede ser, por ejemplo, para el control A.11.1.1, que nos habla sobre la seguridad física de nuestras instalaciones o centros de procesamiento de datos.
Si tu empresa trabaja de manera remota y gestiona sus operaciones sobre servicios cloud, este control no aplica porque el Centro de Procesamiento de Datos se encuentra en la nube (y dentro del documento se vería algo similar a la imagen siguiente).
Columna: Frecuencia de revisión
En esta columna vamos a documentar la frecuencia con la que revisaremos los controles implementados.
El criterio que recomendamos seguir para definir esta frecuencia, es el siguiente:
Trimestral: Para controles operativos.
Semestral: Para controles que dependen de procedimientos, ya que éstos pueden cambiar constantemente.
Anual: Para controles que se cumplen mediante políticas.
Siguiendo con nuestro ejemplo; decimos que la frecuencia de revisión de los controles que van desde el A.5.1.1 al A.6.1.4 será anual, porque están basados en la formalización e implementación de nuestras políticas.
Hackmetrix insight: Así como lo mencionamos en nuestro ejemplo práctico, la revisión anual aplicará para todos aquellos controles que requieren de la documentación y formalización de políticas para cumplirse.
Un ejemplo donde podríamos indicar que la revisión sea trimestral, es el control A.12.6.1 - Gestión de vulnerabilidades técnicas, ya que el control se cumple directamente ejecutando actividades operativas que requieren un seguimiento y mantenimiento constante.
Un ejemplo donde podríamos indicar que la revisión sea semestral, es el control A.14.2.3 - Revisión técnica de aplicaciones después de cambios de las plataformas operativas, ya que su implementación se basa mayormente en procedimientos que deben estar actualizados en todo momento.
Aquí es importante recordar que las políticas definen qué queremos hacer, mientras que los procedimientos definen cómo lo vamos a hacer.
Columna: ¿Control implementado?
Al igual que en la columna de “¿Aplica?”, nuestro template te sugiere sólo 2 posibles respuestas; Sí o No. Aquí es dónde vas a indicar si dicho control ya se encuentra implementado al 100%.
Podrías añadir otros estados para indicar, no solo si el control está implementado, sino para saber si está en proceso, detenido por algún bloqueante, etcétera.
Solo recuerda que el resultado final debe mostrar un “sí”, para todos aquellos controles aplicables y un “no” solo para los que no hayan sido aplicables.
Sigue estos pasos para cada uno de los controles y podrás completar tu declaración de aplicabilidad fácilmente.
Recuerda que:
Los controles que serán aplicables se basan en tus procesos definidos dentro del alcance del SGSI, los cuales te ayudarán a realizar un correcto tratamiento de riesgos.
Es muy importante analizar y considerar todos los controles que nos ayuden a mitigar los riesgos de seguridad en tu empresa, ya sea para proteger nuestros procesos o incluso, implementar otros.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.