Aplicar o no aplicar. He ahí el dilema
Muchos aspirantes a aprender sobre implementación ISO 27001 tienen la idea general de que debemos implementar todos los controles que nos indica la norma. Lo cual es falso, y para ello tenemos como documento exigente de la ISO 27001, la Declaración de Aplicabilidad el cual consiste en definir los controles que sí se implementarán en la organización y cuales no. Para los controles que no se implementen, deberá exisitir una justificación razonable respecto a su exclusión.
Primeros pasos
Lo primero que debe de saber es que la ISO 27001 versión 2013, exige que, no para cada uno de los 114 controles que presenta deban tener su documento respectivo. Hay documentos que son de elaboración obligatoria tales como Documento de alcance del SGSI, Política de Seguridad de la Información y Declaración de Aplicabilidad, si es que la organización desea obtener la certificación internacional ISO 27001. Sin embargo, de todos los 114 controles, la organización es libre de tomar la decisión de sólo tomar los controles que más necesiten implementar.
SUNAT y los OSE
Sunat actualmente está exigiendo a muchas empresas de software que están postulando como Operadores de Servicios Electrónicos (OSE), 60 de los 114 controles que presenta la Norma. Si nos ponemos a analizar todo lo que involucra ser un OSE (es decir brindar toda una plataforma a los contribuyentes para una mejor gestión distribuida de facturación electrónica), es entendible la exigencia de estos controles, ya que se trabajará con datos muy sensibles como los impuestos de las personas jurídicas del estado (por mencionar sólo una). Dicha implementación de 60 controles, debe ser evaluada por un Implementador Líder Certificado en ISO 27001 y debe determinar el nivel de madurez respecto a la implementación de los 60 controles.
No aplicables
Así como hay controles que el implementador determina que se deben aplicar, también hay los que no. Por ejemplo, un control de la ISO 27001, te dice que Protección de los datos utilizados para pruebas, este control sería aplicable para empresas que tienen su área de TI que cuenta con desarrolladores para darle mantenimiento al software de la organización, para este caso sí sería aplicable, sin embargo, si hablamos de repente de un supermercado que cuenta con una habitación con una servidor físico, el cual su proveedor de software accede a través de conexión remota, es decir, no tiene personal desarrollador, si no más lo terceriza, éste sería un control no aplicable para esta organización.
Consejo audit
La implementación de varios controles toma mucho tiempo, y es necesario entender el objetivo principal de cada control para analizarlo con el contexto actual de la empresa y decidir su implementación. Los 114 controles de la ISO 27001.2013 están divididos en 14 dominios, los cuales nos facilitan su distribución respecto a la asignación de implementación a los integrantes del equipo del proyecto de implementación ISO 27001 en una organización.