Declaración de Aplicabilidad y análisis de riesgos
Declaración de Aplicabilidad
Aunque ISO 27001 tiene en cuenta 133 controles, también es importante mencionar que una empresa puede agregar otros controles complementarios a estos. Esto se hace siempre que se considere que otros son necesarios para lograr los objetivos de seguridad de la información que se han establecido. La adopción de prácticas establecidas en las normas para la gestión de la seguridad no solo puede llevarse a cabo con fines de certificación, sino también como medidas que contribuyen a la protección de la información y, en general, para obtener considerables beneficios en la materia.
En esta ocasión, hablaremos sobre la Declaración de Aplicabilidad (SoA para el acrónimo en inglés), un documento que, aunque es un requisito de documentación en el estándar ISO/IEC 27001, puede ser utilizado por cualquier organización, como una forma de realizar un seguimiento y control de las medidas de seguridad que se aplican.
La Declaración de Aplicabilidad contiene controles esenciales para desarrollar la gestión de riesgos. Estos controles pueden establecerse para que la organización cumpla con ciertos problemas reglamentarios obligatorios o para cumplir con aquellos que la propia empresa ha establecido voluntariamente.
Posteriormente, la selección de controles de seguridad debe servir para generar un plan de tratamiento de riesgos, principalmente para definir las actividades necesarias para la aplicación de controles de seguridad, que se han seleccionado y no se implementan.
El análisis de riesgos de seguridad de la información es clave en la implementación de la norma ISO 27001. Este análisis determina los controles que se aplicarán, las acciones y los tratamientos que se llevarán a cabo, los objetivos que se deben cumplir, etc. Es fundamental, para el Sistema de gestión de seguridad de la información, es realmente útil y no una carga de trabajo adicional para la organización.
Puntos para el análisis de riesgos para la Declaración de Aplicabilidad
La realización del análisis de riesgos, debilidades/deficiencias según las diferentes denominaciones, el cual nos permite determinar el ámbito de aplicación de la norma también denominada “declaración de aplicabilidad”. Se deben identificar cada uno de los riesgos estableciendo los controles previamente incluidos en la Declaración de Aplicabilidad para gestionar el riesgo de manera sistemática de forma que consideremos todos los aspectos importantes para la empresa. Aquí se establecen además el cronograma de implantación, los recursos necesarios además del plan de auditorías. La evaluación del riesgo y su tratamiento es el paso más importante en su proyecto de seguridad de la información. Aquí se establecen las bases para la seguridad de la información en la empresa.
- Establecer criterios: Una vez identificados y analizados los Riesgos, determinen si cada uno de ellos es aceptado o no por la organización. En el caso de no ser aceptable, se deberán tomar acciones dentro del Plan de Tratamiento de Riesgos, que hagan que pase a serlo.
- Identificar los riesgos: Se recomienda que lo realicen varias personas durante varias semanas, lo que evitará cometer errores importantes en la identificación de los riesgos.
- Activos: Disponer de un inventario exhaustivo de los Activos de Información de la organización, será el primer paso a completar.
- Amenazas: Cada empresa está sometida a un conjunto de Amenazas intrínsecas a su actividad y ubicación.
- Vulnerabilidades: Determinar si dicho Activo es vulnerable a dicha Amenaza.
- Probabilidad e Impacto: La Probabilidad es aquella que el Riesgo tiene de materializarse. Mientras que el Impacto, son las consecuencias potenciales que tendría si este llega a suceder. Mediante una fórmula de cálculo que nos diga el Nivel de Riesgo de cada uno de los riesgos identificados.
- Evaluar los riesgos: Tras analizar su probabilidad e impacto, se valora su Nivel de Riesgo. Este se compara con los valores límite que hayamos prefijado, clasificando cada riesgo es tolerable o intolerable. Los intolerables deben ser corregidos por medio de nuevos Controles en el Plan de Tratamiento de Riesgos.
Algunos profesionales de la seguridad de la información pueden pensar que la Declaración de Aplicabilidad es un esfuerzo duplicado, ya que la definición de los controles necesarios ya se presenta en el Informe de Evaluación de Riesgos, que también es documento obligatorio de ISO 27001.
Software para la seguridad de la información
Hay numerosas herramientas para la determinación de los riesgos de activos de la información, pero, independientemente de la metodología o la herramienta que se utilice, el resultado debería conformar una lista de los riesgos correspondientes a los posibles impactos.
Esto permite categorizar los riesgos e identificar cuáles deberían ser tratados exhaustivamente. Se debe escoger, en base a los resultados obtenidos, cual es el nivel de riesgo que la organización está dispuesta a tolerar, de manera que por debajo de ese nivel el riesgo es aceptable y por encima no lo será y se tomará alguna decisión al respecto.
La Plataforma Tecnológica ISOTools está elaborada para ser capaz de desarrollar cada una de estas indicaciones en la implantación de un SGSI de ISO27001, y llevar a cabo una gestión eficaz y eficiente del mismo.