Declaración de Aplicabilidad (Statement of Applicability – SoA).
Es un documento formado por la relación completa de los controles de seguridad de la información evaluables, que se indican en el anexo A de la norma. En ella la organización indica si cada uno de ellos es de aplicación o no, detallando los motivos y su estado de implantación.
Aunque el Anexo A es la referencia para la implantación de medidas de protección de la información, la organización puede añadir otros controles y objetivos de control si lo considera necesario.
Características de la SoA.
El documento SoA puede registrarse en el formato que considere más conveniente la organización, lo realmente importante es su contenido, que generalmente incluirá:
- los controles del estándar,
- si aplican o no y sus justificaciones,
- su estado de implementación,
- documentación relacionada (procedimientos, evidencias, etc.),
- todos aquellos datos adicionales que puedan ser considerados necesarios registrar.
Importancia y ventajas de la SoA.
- La SoA permite la trazabilidad entre los controles de la norma y lo que realmente se hace en la organización, proporcionando así una visión amplia de lo que está realizando la organización para proteger su información, y contribuyendo a la identificación, organización y registro de las medidas de seguridad implantadas.
- Permite justificar la inclusión o exclusión de cada control, aspectos que no se incluyen en el informe de Evaluación de Riesgos.
- Las organizaciones que desarrollan e implantan un Sistema de Gestión de Seguridad de la Información (SGSI), y que quieran obtener la certificación para la norma ISO 27001, deberán contar obligatoriamente con el documento SoA.
- Al documentar cada control aplicable e indicar si se ha implementado o no, se convierte en la guía principal para auditores tanto internos como externos. En general, el auditor accederá a la declaración de Aplicabilidad, y en base a ella desarrollará la auditoría y verificará el cumplimiento de lo documentado.
Revisión y actualización.
La SoA es un documento vivo, que debe ser revisado y aprobado por la máxima autoridad de Seguridad de la organización, y actualizado cuando se produzca alguna de las siguientes situaciones, que supongan aplicar nuevos controles de seguridad o revisar los ya implantados:
- Nueva información, generada internamente, cedidas por terceros (clientes, proveedores, etc) o relacionada con el cumplimiento normativo o legislativo.
- La adquisición o sustitución de activos que contengan o gestionen información (dispositivos móviles, software, proveedores, nuevas tecnologías de comunicación, etc), que pueden suponer la aparición de nuevas amenazas y vulnerabilidades.
- Cambios organizativos u operacionales que supongan un cambio en la gestión de la información.
- Cambios en el contexto o las necesidades o requisitos de las partes interesadas: exigencia de contratos o cláusulas de confidencialidad, aparición de nuevas leyes o reglamentos, ampliación a nuevos mercados, nuevas amenazas de ciberseguridad, etc.
Es necesario llevar un control de versiones de las Declaraciones de Aplicabilidad que vayamos realizando, registrando los cambios realizados.