Declaración de aplicabilidad con ejemplo de NutriGlobal

Clase 9 de 22Curso de Certificación ISO 27001 para Empresas

Clase anteriorSiguiente clase

Resumen

La declaración de aplicabilidad juega un rol fundamental en la implementación efectiva de un sistema de seguridad de la información. NutriGlobal, como ejemplo concreto, desarrolló este documento basándose en tres procesos críticos: gestión de proveedores, investigación y desarrollo y comercio electrónico. Veamos cómo lo hizo y qué controles incluyó.

¿Qué controles de seguridad incluye una declaración de aplicabilidad?

La elección de los controles depende directamente del tipo de empresa y sus procesos críticos. NutriGlobal, como referencia, incluyó controles específicos tales como:

  • Seguridad enfocada en la gestión de proyectos, asegurando prácticas de seguridad integradas en todo proyecto nuevo.
  • Seguridad de servicios en la nube (control 5.23), indispensable al contratar proveedores como AWS.
  • Verificación de antecedentes del personal (control 5.1 o screening).
  • Responsabilidades claras luego de la terminación del empleo (control 6.5).
  • Acuerdos de confidencialidad para todos sus empleados.
  • Supervisión estricta de la seguridad física (control 7.4) con monitoreo mediante circuitos cerrados.
  • Cultura corporativa enfocada en escritorio y pantalla limpios (control 7.7).
  • Protección contra malware (control 8.7), fundamental contra ciberataques en servidores locales y en la nube.
  • Control de accesos mediante un sistema centralizado de logging (control 8.15), para visualizar eventos tecnológicos.

¿Cómo identificar la aplicabilidad de los controles?

NutriGlobal determinó su matriz puntualmente, incluyendo:

  • Código y nombre del control de seguridad.
  • Breve descripción del control, facilitando su entendimiento.
  • Definición clara de aplicabilidad según procesos clave del negocio.

Particularmente en supervisión de la seguridad física (control 7.4), NutriGlobal identificó que actualmente solo aplica a uno de los tres procesos críticos planteados. Esto resalta la importancia de una evaluación constante y periódica.

¿Por qué es necesaria la revisión periódica?

La empresa debe reevaluar cada año los controles establecidos, dado que las necesidades y riesgos cambian. Por ejemplo, el control de seguridad física podría dejar de aplicar si ese riesgo es delegado a un proveedor o desaparece el riesgo directo.

Te invitamos a realizar un ejercicio de autoevaluación similar. ¿Cuáles son los controles que actualmente no serían aplicables para tu organización y cuál sería la justificación para ello? Comparte brevemente tu respuesta, recordando cuidar la confidencialidad de los datos empresariales.