Implementación de la SGSI – ISO 27001

En post anteriores hemos venido explicando e introduciéndonos poco a poco en lo que es la seguridad de la información dentro de la empresa y sobre todo en la seguridad de los datos informáticos que guardamos. Hacemos un breve repaso, la Seguridad de la Información es la norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales. Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un SGSI. Este proceso permite a las empresas certificar su Sistema de Gestión de Seguridad de la Información (SGSI).

Una vez que recordamos lo que engloba la seguridad en la información podemos entrar en más detalle sobre de qué consta y qué se necesita para ello. Como ya lo hemos planteado con anterioridad, la adopción de prácticas establecidas en estándares para la gestión de la seguridad no solo se puede llevar a cabo con fines de certificación, sino también como medidas que contribuyen a la protección de la información, y en general, para obtener considerables beneficios en la materia. En esta ocasión, hablaremos de la Declaración de Aplicabilidad (SoA por las siglas en inglés de Statement of Applicability), un documento que si bien es un requisito de documentación en el estándar ISO/IEC 27001, puede ser utilizado por cualquier organización, como una manera de mantener el registro y control de las medidas de seguridad que son aplicadas.

SoA es un documento que enlista los controles de seguridad establecidos en el Anexo A del estándar ISO/IEC 27001 (un conjunto de 114 controles agrupados en 35 objetivos de control, en la versión de 2013 de esta norma de seguridad). El Anexo A suele ser utilizado como una referencia para la implementación de medidas de protección de la información, así como para comprobar que no se están dejando de lado medidas de seguridad necesarias que no habían sido consideradas dentro de una organización.

Los propósitos que se desean alcanzar a través de la implementación de controles (es decir, objetivos de control), se encuentran incluidos de manera implícita en los controles seleccionados. Sin embargo, es importante mencionar que un SoA no está limitado a los que se encuentran listados en el anexo, por lo cual pueden ser utilizados otros controles y objetivos de control si se considera necesario.

La Declaración de Aplicabilidad se desarrolla después del tratamiento de riesgos, que a su vez es la actividad posterior a una evaluación de riesgos. El tratamiento tiene como objetivo la definición de las acciones a realizar para mitigar aquellos riesgos que han sido identificados y analizados. Existen varias opciones de tratamiento, aunque de manera general se pueden agrupar en las siguientes categorías:

  • Mitigación. Consiste en implementar algún control que reduzca el riesgo.
  • Transferencia. Ocurre cuando se delega la acción de mitigación a un tercero.
  • Aceptación. Se presenta cuando el impacto generado por un riesgo es suficientemente bajo para que la organización decida no tomar ninguna acción de mitigación o cuando el costo de la aplicación de un control supera el valor del activo.

Una vez que se han definido las opciones de tratamiento para los riesgos, la organización debe aplicar medidas de seguridad, es decir, decidir de qué manera serán mitigados los riesgos. Es en este punto es cuando se desarrolla un SoA, el documento donde se registran los controles de seguridad que son aplicables (necesarios) y si éstos se encuentran operando o todavía no.

El SoA puede encontrarse en el formato que más convenga a una organización; lo relevante es su contenido, que en general debe incluir los objetivos de control y controles seleccionados del estándar, las razones por las cuales han sido seleccionados y medidas de seguridad adicionales si es el caso. También, debe indicar si los objetivos de control y controles se encuentran implementados y operando, los que hayan sido descartados, así como una justificación del porqué algunas medidas han sido excluidas (las que son innecesarias y la razón del porqué no son requeridas en una organización).

Posteriormente, la selección de controles de seguridad deriva en la creación de un plan de tratamiento de riesgos, principalmente para la definición de las actividades necesarias para la aplicación de los controles de seguridad, que hayan sido seleccionados y que no se encuentran implementados.

Las organizaciones que implementan un Sistema de Gestión de Seguridad de la Información (SGSI) con base en lo que establece ISO/IEC 27001 y que además buscan obtener la certificación para este estándar, deberán contar con el documento de manera indispensable. Este documento suele ser consultado durante las auditorías al SGSI para conocer los controles de seguridad con los que cuenta una organización, utilizados para protege sus activos. Si una organización tiene como propósito adoptar mejores prácticas, el SoA permite resumir en un documento las amenazas identificadas y analizadas durante la evaluación de riesgos, ya que se encuentran mapeadas (a través de la mitigación de los riesgos correspondientes) con las referencias a los controles de seguridad implementados.

Un documento de esta naturaleza permite tener un panorama amplio de lo que está haciendo una organización para proteger su información, ya que después de todo, no es mala idea dedicar tiempo para desarrollar una Declaración de Aplicabilidad, que contribuya a la identificación, organización y registro de las medidas de seguridad que se están aplicando, o que se planean poner en marcha. Desde el área de Calidad desarrollamos diversos planes y proyectos a la medida de nuestros clientes, es en este sentido brindamos una amplia gama de soluciones, si estás interesado/a en conocer más sobre cómo podemos ayudarte a diseñar y planificar la implementación de la SGSI para la ISO-27001 no dudes en contactar con nosotros a través de nuestro teléfono 952275086 o envía un correo a formacion@ybeagroup.com, te respoderemos lo más pronto posible.