by drmunozcl
Share
Por drmunozcl
Compartir
La Declaración de Aplicabilidad (en inglés, Statement of Applicability o SoA) es uno de los documentos más importantes dentro de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO/IEC 27001. Sin embargo, para muchos que recién comienzan su implementación, puede ser confusa tanto en su propósito como en su forma. En este artículo te explico qué es, cómo luce y cómo elaborarla correctamente.
¿Qué es la Declaración de Aplicabilidad?
La Declaración de Aplicabilidad es un documento que:
-
Enumera todos los controles definidos en el Anexo A de la norma ISO 27001 (ya sea la versión 2013 o la más reciente 2022).
-
Justifica cuáles controles son aplicables o no aplicables a tu organización.
-
Describe cómo se implementan esos controles, si ya están en uso, están en desarrollo, o son responsabilidad de terceros.
Este documento no solo sirve para demostrar el nivel de control aplicado en el SGSI, sino que también actúa como una herramienta de referencia clave durante auditorías internas, auditorías de certificación y revisiones de gestión.
¿Qué debe contener la SoA?
Aunque no hay un formato universal obligatorio, la norma exige que contenga al menos:
-
La lista completa de controles del Anexo A.
-
La declaración de aplicabilidad de cada control (aplicable o no).
-
La justificación de la inclusión o exclusión.
-
El estado de implementación del control (implementado, en proceso, no iniciado, etc.).
¿Cómo luce visualmente una SoA?
A continuación, un ejemplo simplificado de cómo podría estructurarse una Declaración de Aplicabilidad en formato tabular:
| ID Control | Nombre del Control | ¿Aplicable? | Justificación | Estado de implementación |
|---|---|---|---|---|
| A.5.1.1 | Políticas para la seguridad de la información | Sí | Requiere definir la política como base del SGSI | Implementado |
| A.6.1.5 | Contacto con autoridades | No | No aplica por el giro del negocio (solo clientes privados) | No aplica |
| A.8.1.1 | Inventario de activos | Sí | Necesario para identificar y proteger activos críticos | En proceso |
| A.9.2.1 | Registro de usuarios | Sí | Control clave para el acceso seguro a los sistemas | Implementado |
A continuación un ejemplo visual de como luce un documento oficial:
Conclusión
La Declaración de Aplicabilidad no es solo una lista de verificación. Es el puente entre tu análisis de riesgos y los controles de seguridad seleccionados para proteger tus activos. Si estás implementando ISO 27001, este documento será tu mejor aliado para demostrar tu compromiso con la ciberseguridad y la mejora continua.
MANTENTE INFORMADO
Suscríbete a nuestro newsletter gratuito.
Si te enfrentas a ransomware, auditorías exigentes y clientes que piden garantías, probablemente te preguntas por dónde empezar para fortalecer la seguridad. El ruido de marcos y buenas prácticas no ayuda. Aquí es donde ISO 27002 aporta claridad y orden: es el catálogo de controles de seguridad que te guía para proteger la información con
Cuando la tecnología, la regulación y las expectativas de clientes cambian más rápido que tu roadmap, el riesgo no espera. La Evaluación Entorno Externo PESTEL ISO 27001 te permite anticipar amenazas y oportunidades con método, alineando el contexto externo con tu Sistema de Gestión de Seguridad de la Información (SGSI). ¿Por qué importa la Evaluación
Implementar un SGSI que resista auditorías y ataques no es cuestión de suerte. El Análisis FODA en ISO 27001 ofrece una forma clara y práctica de entender tu contexto, priorizar riesgos y alinear inversiones de seguridad con objetivos del negocio. Si diriges TI o una pyme, este enfoque te ayuda a decidir dónde actuar primero,
Si te preguntas cómo alinear tu empresa con ISO 27001 sin perder tiempo ni presupuesto, el análisis de brecha (GAP analysis) es tu mejor punto de partida. En InfoProteccion lo usamos para identificar, con precisión, qué necesitas para cumplir la norma y fortalecer tu Sistema de Gestión de Seguridad de la Información (SGSI). Evita sorpresas
