No debemos olvidar la Declaración de Aplicabilidad (SoA)

La aprobación del Real Decreto 43/2021 supone un hito para la ciberseguridad de las empresas porque establece importantes cambios para un gran número de empresas afectadas: Operadores de Servicios Esenciales y Prestadores de Servicios Digitales.

La Declaración de Aplicabilidad (SoA por las siglas en inglés de Statement of Applicability), es un documento formado por la relación completa de los controles de seguridad de la información evaluables, que se indican en el anexo A de la norma, que si bien es un requisito de documentación en el estándar ISO/IEC 27001, ahora se convierte en un obligación para las empresas afectadas por el Real Decreto.

La Declaración de Aplicabilidad debe ser presentada y firmada por el Responsable de Seguridad en un plazo de 6 meses, es decir, en julio de 2021. Además, será revisable como mínimo cada 3 años.

A grandes rasgos, en la Declaración de Aplicabilidad se analizarán las medidas de ciberseguridad que tiene actualmente la empresa y se reflejarán las deficiencias detectadas y cómo se pretenden solucionar, incluyendo un plan de seguimiento para verificar que se consigan los requisitos mínimos.

Estos son los apartados que debe incluir la Declaración de Aplicabilidad:

Análisis y gestión de riesgos.
Gestión de riesgos de terceros o proveedores.
Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas.
Gestión del personal y profesionalidad.
Adquisición de productos o servicios de seguridad.
Detección y gestión de incidentes.
Planes para la recuperación y aseguramiento de la continuidad de las operaciones.
Mejora continua.
Interconexión de sistemas.
Registro de la actividad de los usuarios.

¿Qué características tiene una Declaración de Aplicabilidad?

Puede encontrarse en el formato que más convenga a la organización; Debe incluir los objetivos de control y controles seleccionados del estándar, si cada uno de ellos es de aplicación o no, detallando los motivos y su estado de implantación y las razones por las cuales han sido seleccionados y medidas de seguridad adicionales si es el caso.

Posteriormente, la selección de controles de seguridad deriva en la creación de un plan de tratamiento de riesgos, principalmente para la definición de las actividades necesarias para la aplicación de los controles de seguridad, que hayan sido seleccionados y que no se encuentran implementados.