La Declaración de Aplicabilidad en la norma ISO 27001 2017

La Declaración de Aplicabilidad de la norma ISO 27001, es una relación completa de Controles de Seguridad de la Información, donde se indica si cada uno de ellos resulta de aplicación o no a la organización. Los Controles serán considerados aplicables según la actividad, el gestión interna y el entorno de la empresa. En cada caso, se deberán detallar los motivos por los que se aplica o no dicho Control, y tener información de su estado de implantación.

La necesidad de crear una Declaración de Aplicabilidad se fija como requisito en el punto 6.1.3 de la norma ISO 27001. En él se indica la obligación de detallar los motivos por los que cada Control se ha incluido en la Declaración de Aplicabilidad, o las razones que tenemos para excluir determinados Controles del Anexo A de la norma ISO 27001.

NOTA: En la Declaración de Aplicabilidad de cualquier organización, al menos deberán aparecer como mínimo todos los Controles contenidos en el Anexo A de la norma ISO 27001. Y también, aquellos Controles exigidos por los clientes o la legislación aplicable, así como los propios de la organización.

Paso 1: Inclusión o exclusión de Controles

Estos son algunos de los motivos por lo que podremos excluir un Control del Anexo A de la norma ISO 27001 en la Declaración de Aplicabilidad:

1. Información no utilizada: Si no gestionamos una determinada información como: los registros de administración y operación (Control: 12.4.3), o de gestión de las capacidades (Control: 12.1.3)... no tiene sentido implementar los controles asociados a ésta, y definidos en el Anexo A.
2. Activos no disponibles: Si no se utilizan dispositivos móviles o portátiles, ya que sólo se dispone de equipos de sobremesa y fijos, no tiene sentido definir Políticas en este sentido (Control: 6.2.1).
3. Actividades no realizadas: Si no hay posibilidad por parte de los empleados de teletrabajar (Control: 6.2.2), o no se desarrolla software propio (Control: 14.2.1)... podrás excluir los Controles asociados a estas actividades.
4. Gestión limitada de equipos: Si no se extrae información sensible ni equipos informáticos fuera de las oficinas, no aplicará los Controles específicos para esta opción (Control: 11.2.6).
5. Información no accesible: Si en la organización sólo se utilizan aplicaciones informáticas comerciales, ésta no es propietaria del código fuente del software que utiliza ni tiene acceso a él (Control: 9.4.5). Lo mismo sucede con las claves criptográficas (Control: 10.1.1).
6. No se comparte información: Si no se comparte información sensible con terceros, como pueden ser: clientes, proveedores o socios, tampoco será de aplicación este Control (Control: 13.2.2).

RECOMENDACIÓN: Pese a no ser un requisito de la norma ISO 27001, es recomendable que la Declaración de Aplicabilidad sea aprobada por la Dirección de la organización. Por un lado refuerza el Liderazgo de la Dirección dentro del Sistema de Gestión de la Seguridad de la Información, y por otro evita malos entendidos o discrepacias con lo que la Dirección desea o espera.

Revisión y actualización

La Declaración de Aplicabilidad es documento vivo, debe ser revisada y actualizada cuando se dé alguna de estas situaciones:

1. Nueva información: Es habitual comenzar a utilizar o disponer de nueva información: cedida por terceros (clientes, proveedores, socios...), relacionada con legislación aplicable, o generada internamente por nuevas actividades. Esto supondrá la necesidad de aplicar nuevos Controles de seguridad.
2. Nuevos activos: La adquisición o sustitución de Activos que contienen o gestionan información, puede suponer la aparición de nuevas Amenazas, y por tanto la necesidad de aplicar nuevos Controles. Los más comunes son el uso de nuevos dispositivos móviles, nuevas tecnologías de comunicación o de nuevos softwares.
3. Cambios organizativos: Los cambios en la organización o los procesos, que suponen un cambio en la gestión de la información, hacen que la aplicabilidad de determinados controles varíe. Por ejemplo: que ahora los comerciales puedan acceder al ERP de manera remota.
4. Cambios en el Contexto: Los cambios en el Contexto o en las necesidades de las Partes Interesadas, puede suponer que un Control pase a ser necesario o no. Ejemplos: un nuevo virus de carácter internacional, un incremento en las temperaturas máximas, un incremento de los robos en la zona...
5. Requisitos de Clientes: Nuestros Clientes pueden demandar la aplicación de determinados Controles a la información que nos ceden para realizar el trabajo encargado. Suele ser habitual cuando trabajamos con datos de sus trabajadores, usuarios o clientes. Y la mayoría de veces se concretan en un Contrato de Confidencialidad.
6. Nueva legislación aplicable: La aparición o modificación de nuevas leyes y reglamentos, o comenzar a trabajar en nuevos mercados, supone la necesidad de cumplir nueva legislación aplicable a la seguridad de la información que gestionamos.

IMPORTANTE: Deberemos llevar un control de versiones de las Declaraciones de Aplicabilidad que vayamos realizando. Identificando los cambios que se realizan, y manteniendo la trazabilidad con las Evaluaciones de Riesgos asociadas a dichos cambios.

NOTA: La Declaración de Aplicabilidad se puede guardar en distintos formatos: siendo Word y Excel los más habituales. Es un documento interno del Sistema de Gestión de la Seguridad de la Información, y por tanto no requiere ser publicado ni distribuido externamente. Sí que es un documento clave para el Auditor de Certificación, que nos lo solicitará en cada una de las auditorías que nos realice.