Declaración de Aplicabilidad en ISO 27001: Importancia y Contenido

En este punto del curso, es importante mencionar un documento de alta relevancia dentro de la norma ISO 27001 y es la Declaración de Aplicabilidad o también conocido como SoA (SoA por las siglas en inglés de Statement of Applicability). Este documento puede encontrarse en el formato que más le convenga a una organización ya que la norma no tiene un formato preestablecido; lo relevante está en su contenido, que en general debe incluir los objetivos de control y controles seleccionados de la norma, las razones por las cuales han sido seleccionados y las medidas de seguridad adicionales cuando aplique.

La Declaración de Aplicabilidad en la ISO 27001 es un documento generado a partir del análisis de riesgos realizado. Sin embargo, es importante mencionar que si la organización pretende implementar un sistema de gestión de seguridad de la información, pero no está interesada en alcanzar la conformidad total con ISO 27001, ni tiene entre sus planes obtener la certificación, la Declaración de Aplicabilidad no es obligatoria. Pero las organizaciones que quieren o necesitan obtener la certificación, sí o sí deben elaborar una Declaración de Aplicabilidad.

No obstante, así la intención de la organización no sea obtener la certificación, es importante aclarar que la Declaración de Aplicabilidad en la norma ISO 27001 tiene gran relevancia. Este documento define el alcance del sistema de gestión de seguridad de la información. Y también se convierte en la guía para el auditor. Por eso, debe existir antes de la auditoría de certificación y, también, antes de la auditoría interna del sistema.

Una vez que se han definido las opciones de tratamiento para los riesgos, la organización debe aplicar medidas de seguridad, es decir, decidir de qué manera serán mitigados los riesgos. Es en este punto cuando se desarrolla la Declaración de Aplicabilidad, el documento donde se registran los controles de seguridad que son aplicables (necesarios) y si éstos se encuentran operando o todavía no.

Para concluir, te puedo decir que la Declaración de Aplicabilidad en la norma ISO 27001 se trata de un documento que enlista los controles de seguridad establecidos en el Anexo A (114 controles) que has decidido aplicar o implementar dentro de tu Sistema de Gestión de Seguridad de la Información.