La importancia de la Declaración de aplicabilidad para la norma ISO 27001
La importancia de la Declaración de aplicabilidad (a veces conocida como DdA) generalmente es subestimada, como el Manual de calidad en la norma ISO 9001, ya que se trata del documento principal que define cómo usted implementará una gran parte de su sistema de seguridad de la información.
De hecho, la Declaración de aplicabilidad es el nexo principal entre la evaluación y el tratamiento del riesgo y la implementación de su sistema de seguridad de la información. El objetivo de este documento es definir cuáles de los 133 controles (medidas de seguridad) sugeridos en el Anexo A de la norma ISO 27001 son los que usted implementará y, para los controles que correspondan, cómo se realizará su implementación.
Muy pocas empresas se dan cuenta de que redactando una buena Declaración de aplicabilidad pueden disminuir la cantidad de otros documentos; por ejemplo, si desea documentar un determinado control, pero la descripción del procedimiento para ese control resultaría demasiado breve, lo puede incluir en la DdA. De esta forma, estaría evitando redactar otro documento.
Por lo tanto, no se debería tomar este documento simplemente como uno de esos “documentos innecesarios” que no tienen una utilidad real. Piense que es la principal declaración en la que usted define lo que desea hacer con su seguridad de la información. Si está redactado correctamente, la DdA es un resumen perfecto acerca de lo que se debe hacer en seguridad de la información, por qué se debe hacer y cómo se debe hacer.
Haga clic aquí para descargar una plantilla gratuita de la Declaración de aplicabilidad.
Fuente: Dejan Kosutic - ISO 27001
De hecho, la Declaración de aplicabilidad es el nexo principal entre la evaluación y el tratamiento del riesgo y la implementación de su sistema de seguridad de la información. El objetivo de este documento es definir cuáles de los 133 controles (medidas de seguridad) sugeridos en el Anexo A de la norma ISO 27001 son los que usted implementará y, para los controles que correspondan, cómo se realizará su implementación.
Por qué es necesaria
Ahora bien, ¿por qué es necesario este documento cuando usted ya ha confeccionado el Informe sobe la evaluación de riesgos, que también es obligatorio y que también define los controles necesarios? Estos son los motivos:- Ante todo, durante el tratamiento de riesgos usted identificó los controles que debían implementarse porque primero identificó los riesgos que era necesario disminuir. Sin embargo, en la DdA usted también identificó los controles necesarios por otras razones; por ejemplo, por motivos legales, por requisitos contractuales, por otros procesos, etc.
- Segundo, el Informe sobre la evaluación de riesgos puede resultar bastante largo: algunas organizaciones pueden identificar algunos miles de riesgos (a veces, aún más); por eso, un documento de estas características no resulta realmente útil en el uso operativo diario. En cambio, la Declaración de aplicabilidad es bastante breve ya que tiene 133 filas (cada una representa un control); esto permite que pueda ser presentada ante la gerencia y que pueda ser actualizada.
- Tercero, y más importante, la DdA debe documentar si cada control aplicable ya está implementado o no. Una estrategia efectiva, y que la mayoría de los auditores buscará, también es describir cómo se implementa cada control aplicable; por ejemplo, haciendo referencia a un documento (política, procedimiento, instrucciones de funcionamiento, etc.) o detallando brevemente el procedimiento vigente o el equipo que se utiliza.
Muy pocas empresas se dan cuenta de que redactando una buena Declaración de aplicabilidad pueden disminuir la cantidad de otros documentos; por ejemplo, si desea documentar un determinado control, pero la descripción del procedimiento para ese control resultaría demasiado breve, lo puede incluir en la DdA. De esta forma, estaría evitando redactar otro documento.
Por qué es útil
Por experiencia, puedo afirmar que la mayoría de las empresas que implementan el sistema de gestión de seguridad de la información de acuerdo a la norma ISO 27001 dedican mucho más tiempo en redactar este documento que lo que habían previsto. El motivo es que deben pensar cómo implementarán sus controles: ¿Comprarán nuevos equipos? ¿Modificarán el procedimiento? ¿Contratarán un nuevo empleado? Estas son decisiones bastante importantes (y, a veces, costosas), por ello no sorprende que requiera mucho tiempo tomarlas. Lo bueno acerca de la DdA es que obliga a las organizaciones a hacer las cosas de forma sistemática.Por lo tanto, no se debería tomar este documento simplemente como uno de esos “documentos innecesarios” que no tienen una utilidad real. Piense que es la principal declaración en la que usted define lo que desea hacer con su seguridad de la información. Si está redactado correctamente, la DdA es un resumen perfecto acerca de lo que se debe hacer en seguridad de la información, por qué se debe hacer y cómo se debe hacer.
Haga clic aquí para descargar una plantilla gratuita de la Declaración de aplicabilidad.
Fuente: Dejan Kosutic - ISO 27001
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!