Declaración de Aplicabilidad

Clase 9 de 22Curso de Certificación ISO 27001 para Empresas

Clase anteriorSiguiente clase

Resumen

La declaración de aplicabilidad (SOA) es un componente fundamental en cualquier sistema de gestión de seguridad de la información (SGSI). Este documento estratégico permite a las organizaciones identificar y justificar qué controles de seguridad son relevantes para su operación específica. A través del caso práctico de Nutriglobal, exploraremos cómo una empresa real implementa su matriz de aplicabilidad, adaptándola a sus procesos críticos y necesidades particulares de negocio.

¿Cómo se estructura una matriz de aplicabilidad en un SGSI?

La matriz de aplicabilidad es una herramienta esencial que permite visualizar de manera organizada los controles de seguridad que una organización decide implementar. En el caso de Nutriglobal, esta matriz incluye elementos clave como:

  • Código del control
  • Nombre del control
  • Descripción breve
  • Nivel de aplicabilidad para cada proceso crítico

Nutriglobal ha definido tres procesos críticos dentro del alcance de su SGSI:

  1. Gestión de proveedores
  2. Investigación y desarrollo
  3. Comercio electrónico

Estos procesos representan las áreas más sensibles y estratégicas para la operación de la empresa, por lo que requieren una atención especial en términos de seguridad de la información.

¿Qué controles específicos ha seleccionado Nutriglobal en su declaración?

La empresa ha realizado un análisis detallado para determinar qué controles son aplicables a su contexto particular. Entre los controles seleccionados se encuentran:

  • Seguridad basada y aplicada en la gestión de proyectos: Este control asegura que cualquier proyecto desarrollado por la empresa incorpore prácticas de seguridad de la información desde su concepción.

  • Seguridad de servicios en la nube (5.23): Dado que Nutriglobal utiliza servicios de AWS y otros proveedores cloud, este control es fundamental para proteger la información alojada en entornos externos.

  • Screening (5.1): Enfocado en la verificación de antecedentes de todos los empleados, este control mitiga riesgos asociados al factor humano.

  • Responsabilidades después de la terminación del empleo (6.5): Nutriglobal prioriza la protección de su información tanto durante como después de la relación laboral con sus empleados.

  • Acuerdos de confidencialidad: Estos deben incluirse en todos los contratos laborales para garantizar la protección legal de la información sensible.

  • Supervisión de la seguridad física (7.4): Aplicable principalmente a las instalaciones relacionadas con proveedores, donde se implementan circuitos cerrados de televisión.

  • Escritorio y pantalla limpios (7.7): Orientado a fomentar una cultura de seguridad en las estaciones de trabajo de los empleados.

  • Protección contra malware (8.7): Esencial para proteger todos los equipos y servidores contra ciberamenazas.

  • Login (8.15): Permite a Nutriglobal mantener visibilidad sobre todos los eventos tecnológicos mediante sistemas centralizados de registro.

¿Por qué algunos controles no aplican a todos los procesos críticos?

Un aspecto interesante del caso de Nutriglobal es la aplicación selectiva de controles según el proceso. Por ejemplo, el control 7.4 (supervisión de la seguridad física) solo aplica completamente a uno de los tres procesos críticos.

Esta diferenciación demuestra un enfoque maduro de seguridad, donde:

  • Se evita la implementación innecesaria de controles en áreas donde no aportan valor
  • Se optimizan recursos al concentrarlos donde realmente son necesarios
  • Se adapta la seguridad a las características específicas de cada proceso

Es importante destacar que la declaración de aplicabilidad debe revisarse anualmente. Como se menciona en el caso, es posible que en el futuro algunos controles como el 7.4 puedan excluirse si el servicio se terceriza o si el riesgo ya no es gestionado directamente por Nutriglobal.

¿Cómo aplicar este conocimiento a tu organización?

Para implementar una declaración de aplicabilidad efectiva en tu propia organización, es recomendable:

  1. Identificar los procesos críticos específicos de tu negocio
  2. Revisar cada control de seguridad y evaluar su relevancia
  3. Documentar claramente las justificaciones para incluir o excluir controles
  4. Establecer un proceso de revisión periódica para mantener la declaración actualizada

La clave está en adaptar los controles a las necesidades reales de tu organización, evitando implementar medidas que no aporten valor o que no se alineen con tus objetivos de negocio.

La declaración de aplicabilidad no debe verse como un simple requisito documental, sino como una herramienta estratégica que permite optimizar los recursos de seguridad y enfocarlos donde realmente importa. ¿Qué controles consideras que no aplicarían en tu organización? Te invitamos a reflexionar sobre esto y compartir tus ideas en la sección de comentarios.