Blog de Ciberseguridad

ISO 27001, declaración de aplicabilidad (SOA – Statement of Applicability)

Mar 3, 2024

La declaración de aplicabilidad del SOA (Statement of Applicability), es un documento obligatorio para obtener la certificación ISO/IEC 27001, que contiene una lista de controles evaluables referentes a la seguridad de la información o  Ciberseguridad. Estos controles están especificados en el Anexo A de la norma ISO 27001, estándar internacional que establece los requisitos para implementar y mantener un sistema de gestión de seguridad de la información (SGSI), que es un conjunto de políticas, procedimientos y medidas para proteger la información de la organización frente a amenazas internas y externas.

 

Esta declaración de aplicabilidad (SOA) tiene dos objetivos principales para la ISO 27001:

  • Demostrar que se han seleccionado e implementado los controles de seguridad de la información adecuados en la organización para mitigar los riesgos identificados, según el análisis y la evaluación de riesgos realizada con anterioridad.
  • Justificar la inclusión o exclusión de controles del Anexo A de la norma ISO 27001, exponiendo los motivos de la exclusión y el estado de implantación de los implementados.

El SOA (declaración de aplicabilidad ) es el proceso o actividad inicial ESENCIAL  para crear el Sistema de Gestión de Seguridad de la Información (SGSI) y de la ISO27001, si el SOA no es correcto, todo lo demás no lo será, es decir el SGSI y por tanto la gestión de la Ciberseguridad como de la ISO27001, que no se podrá conseguir, generará un problema para la Ciberseguridad de su organización.

    Pasos a seguir para la elaboración de la declaración de aplicabilidad (SOA)

    En primer lugar, debemos haber realizado el análisis y la evaluación de riesgos, consistente en la identificación de los activos de información de la organización, las amenazas y vulnerabilidades que los afectan y el impacto y la probabilidad de que se materialicen.

    ISO27001_2022

    De los resultados obtenidos en el proceso de creación y definición del SOA, la organización deberá definir las opciones para el tratamiento de los riesgos (mitigar, transferir, aceptar o evitar el riesgo) y aplicar las medidas de seguridad para tratarlos mediante la selección e implementación de los controles de seguridad de la información más adecuados para la organización, pudiendo ser de tipo técnico, organizativo y legal, teniendo en cuenta el marco de la ISO27001.

    En el documento SOA de las organizaciones se debe indicar que controles de seguridad de la información, basados en el Anexo A, son aplicables al SGSI implementado, en el marco de la ISO27001.

    La declaración de aplicabilidad (SOA), se compone de una tabla con el siguientes apartados:

    • Número de control, que identifica cada control del Anexo A de la norma ISO 27001:2022, compuesta de 93 controles los cuáles están organizados en 4 grupos.
    • Nombre del control, que describe cada control del Anexo A de la norma ISO 27001.
    • Aplicabilidad, campo donde se indica si el control es aplicable o no a la organización.
    • Justificación indicando el motivo por el que se incluye o excluye el control, basado en el análisis y la evaluación de riesgos.
    • Estado de implantación, donde se indica el grado de implantación del control, que puede ser: no implantado, parcialmente implantado o totalmente implantado.
    • Referencia a los documentos que evidencian la implantación del control, como procedimientos, registros, informes, etc.
    • Comentarios o notas adicionales que se consideren pertinentes.

     

    El documento de declaración de aplicabilidad (SOA), no tiene un formato determinado, pero siempre debe tener la información requerida por la norma ISO 27001. Es posible para su elaboración el uso de una hoja de cálculo, un documento de texto o una herramienta específica para crearlo.

     

    La importancia la declaración de aplicabilidad (SOA)

    • Permite tener una visión global de los controles de seguridad de la información que se aplican en la organización y verificar que son coherentes con el análisis y la evaluación de riesgos.
    • Ayuda a identificar las posibles brechas o deficiencias en la seguridad de la información y poder planificar las acciones de mejora necesarias.
    • Facilita la preparación y la consecución de las auditorías internas y externas, ya que es el documento principal que revisan los auditores para comprobar el cumplimiento de la normativa ISO 27001.
    • Aporta confianza y credibilidad ante los clientes, proveedores y otras partes interesadas, al demostrar que se dispone de un sistema de gestión de seguridad de la información eficaz y alineado con las mejores prácticas internacionales.

     

    Revisión y actualización del SOA

    El documento SOA debe ser revisado y aprobado por la máxima autoridad de Ciberseguridad de la organización y actualizado en el momento en que se produzca alguna de las siguientes situaciones en las que se deba aplicar nuevos controles de seguridad o la revisión de los que ya se implementaron, en el marco de la ISO27001:

     

    ciso-ISO27001

    • Cualquier nueva información, generada internamente, cedidas por terceros (clientes, proveedores, etc) o relacionada con el cumplimiento normativo o legislativo.
    • La adquisición o sustitución de activos que contengan o gestionen información, que puedan suponer la aparición de nuevas amenazas y vulnerabilidades.
    • Cambios organizativos u operacionales que puedan producir un cambio en la gestión de la información.
    • Cambios en el contexto, las necesidades o requisitos de las partes interesadas, por las exigencia en contratos o cláusulas de confidencialidad, la aparición de nuevas leyes o reglamentos, la ampliación hacia nuevos mercados, la aparición de nuevas amenazas de ciberseguridad, etc.
    • Es necesario llevar un control de todas las versiones creadas de las Declaraciones de Aplicabilidad, registrando los cambios realizados.

     

    En conclusión, la matriz de aplicabilidad (SOA) es un documento esencial para la gestión de la Ciberseguridad en la organización, dentro del marco de la ISO27001, que permite seleccionar e implementar los controles de la seguridad de la información adecuados, justificar su inclusión o exclusión, y demostrar su estado de implantación.

    Si necesitas ayuda para elaborar tu declaración de aplicabilidad (SOA), o para implementar y mantener el sistema de gestión de seguridad de la información (SGSI) para mejorar tu Ciberseguridad basado en ISO 27001, puedes contar con el apoyo de BCNSoluciona, consultora especializada en normas ISO, que ofrece un servicio personalizado, profesional y de calidad.

    Fuentes: 

    ENISA 

    Agencia Catalana de Ciberseguretat

    ISO 27001 , GRC y RGPD

    CISO As a Service

    Si necesita más información,  contacte con nosotros y le recomendaremos lo que necesita para su ciberseguridad.

    Ir al contenido