¿Qué es la Declaración de Aplicabilidad? Preséntala antes del 27/07/21

El 27 de julio de 2021 es la fecha límite para que las empresas afectadas por el Real Decreto 43/2021 presenten su Declaración de Aplicabilidad ante el Ministerio correspondiente según su sector de actividad.

Desde principios de año hemos informado sobre el RD 43/2021 y las nuevas obligaciones que comporta para muchas empresas en la gobernanza de su ciberseguridad. En publicaciones anteriores encontrarás toda la información al respecto:

• Importantes cambios en la ciberseguridad de las empresas: Real Decreto 43/2021
• ¿Cuáles son las funciones del Responsable de Seguridad de la Información o CISO?
• ¿A qué empresas afecta el Real Decreto 43/2021?

¿Qué es la Declaración de Aplicabilidad?

Tras la primera fecha límite, el 27 de abril de 2021, las empresas obligadas primero tuvieron que declarar a su Responsable de Seguridad de la Información (CISO) ante las autoridades.

Ahora, 27 de julio, llega el momento de presentar la Declaración de Aplicabilidad, un documento donde se detallan las protocolos de ciberseguridad y medidas de contingencia y continuidad que ha implantado la empresa con el objetivo de evitar o minimizar los ciberincidentes.

En el documento también se deben hacer constar posibles deficiencias detectadas durante la fase de análisis, si es que las había, y de qué manera se han solucionado o se pretenden solucionar en un plazo de tiempo determinado.

¿Qué contenido incluye la Declaración de Aplicabilidad?

Estos son los apartados que debe incluir la Declaración de Aplicabilidad:

• Análisis y gestión de riesgos.
• Gestión de riesgos de terceros o proveedores.
• Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas.
• Gestión del personal y profesionalidad.
• Adquisición de productos o servicios de seguridad.
• Detección y gestión de incidentes.
• Planes para la recuperación y aseguramiento de la continuidad de las operaciones.
• Mejora continua.
• Interconexión de sistemas.
• Registro de la actividad de los usuarios.

Este documento debe realizarlo y firmarlo el CISO de la empresa, de ahí las 2 fechas límite con un margen de 3 meses entre sí. En Edorteam, durante este período, hemos trabajado con nuestros clientes y sus CISO para preparar sus Declaraciones de Aplicabilidad conforme dicta el reglamento y presentarlas dentro de plazo.

Con el Plan CISO Asesor, nos ocupamos de todos los trámites ante el Ministerio y de preparar la Declaración de Aplicabilidad, garantizando como siempre que tu empresa cumplirá con la ley.

Si acabas de descubrir sobre el RD 43/2021 y crees que podrías ser una empresa afectada, ¡no te preocupes! Contacta con nosotros para agilizar al máximo todo el proceso y presentar tu Declaración de Aplicabilidad lo antes posible.

Incumplir el plazo no significa sanción automática, pero a partir del 27 de julio una empresa obligada será sancionada de no haber presentado la Declaración de Aplicabilidad.

10 puntos clave para realizar correctamente la​ declaración de aplicabilidad ens

El Centro Criptológico Nacional, en su publicación Declaración de Aplicabilidad en el ENS (Perfil de Cumplimiento), incluye 10 recomendaciones para la redacción de dicho documento. Las hemos recopilado a continuación:

Valorar, en primer lugar, los activos esenciales (de los tipos “Información” y “Servicio”).

Para valorar los activos, determinar el nivel de seguridad por cada una de las dimensiones: confidencialidad [C], integridad [I], disponibilidad [D], autenticidad [A] y trazabilidad [T]. Dicho nivel se determinará en función de las consecuencias de un incidente de seguridad sobre alguna de las dimensiones.

Si el activo esencial es del tipo “Servicio”, se recomienda valorar en primer lugar la dimensión de disponibilidad [D], pues los requisitos en materia de confidencialidad, integridad, autenticidad y trazabilidad suelen venir heredados por la valoración de los activos del tipo “Información”.

Establecer la categoría del sistema (BÁSICA, MEDIA o ALTA) en función de los niveles de seguridad asignados a las distintas dimensiones, teniendo en cuenta que la asignación de una categoría al sistema requiere fijar el nivel de madurez de las medidas que resulten de aplicación y que la categoría del sistema será el mayor de los niveles de seguridad asignados.

Seleccionar las medidas que aplican al sistema en función de su categoría, de un total de 40 medidas.

Seleccionar las medidas que aplican al sistema en función de sus niveles de seguridad, de un total de 35 medidas.

Emplear el simulador elaborado por el CCN-CERT, que determina la Declaración de Aplicabilidad de forma automática, introduciendo los niveles de seguridad para cada una de las dimensiones del activo.

Indicar de forma detallada la correspondencia entre las medidas compensatorias implementadas y las medidas del Anexo II que compensan. El conjunto será objeto de la aprobación formal por parte del Responsable de Seguridad.

En caso de que en la Declaración de Aplicabilidad se incluya alguna medida compensatoria, detallar, por cada una de ellas, los siguientes parámetros: ámbito de aplicación, limitaciones o restricciones, objetivo, riesgo identificado, definición de la compensatoria, validación de la medida compensatoria y mantenimiento. El contenido de dichos parámetros es recogido en la guía CCN-STIC-819 Medidas Compensatorias.

Para la redacción del documento de la Declaración de Aplicabilidad, hacer uso de la plantilla elaborada por el CCN-CERT y tener en cuenta los perfiles de cumplimiento validados por el CCN en las correspondientes guías CCN-STIC.

Medidas compensatorias ens

Las medidas compensatorias ENS son una parte fundamental del proceso de cumplimiento de la normativa de seguridad de la información. Estas medidas son esencialmente controles de seguridad seleccionados para compensar cualquier deficiencia en los controles de seguridad existentes.

Un ejemplo común de una medida compensatoria ENS podría ser la implementación de software antivirus en un sistema que ya tiene un firewall, pero que todavía es susceptible a ciertos tipos de malware. Esta medida compensatoria ayudaría a abordar esa vulnerabilidad específica.

Las medidas compensatorias ENS pueden ser de varios tipos, incluyendo controles físicos, técnicos y administrativos. Los controles físicos pueden incluir cosas como cerraduras y sistemas de alarma, mientras que los controles técnicos pueden incluir software y hardware de seguridad.

Es importante recordar que el objetivo de las medidas compensatorias ENS no es eliminar todos los riesgos, sino reducirlos a un nivel aceptable. Por lo tanto, la selección de estas medidas debe basarse en una evaluación de riesgos y una comprensión clara de las vulnerabilidades existentes.

Las medidas compensatorias ENS son una parte vital de cualquier estrategia de seguridad de la información. Ayudan a garantizar que se mantenga un nivel adecuado de seguridad, incluso cuando existen deficiencias en los controles de seguridad existentes.

Declaración de aplicabilidad ejemplo

La Declaración de Aplicabilidad (DoA) es un documento crucial en la implementación de ISO 27001. En él, la organización determina cuáles de los 114 controles de la norma ISO 27001 son aplicables y justifica las exclusiones. Por ejemplo, una empresa de tecnología puede decidir que el control “Seguridad física y del entorno” no es relevante si todos sus empleados trabajan remotamente y no hay una oficina física a proteger.

Un ejemplo de la Declaración de Aplicabilidad podría empezar con una tabla que liste todos los controles de la ISO 27001 en la primera columna. En la segunda columna, la organización indicaría si el control es aplicable o no. En la tercera columna, se proporcionaría una justificación para la decisión. Por ejemplo, si la organización excluye el control “Clasificación de la información”, podría justificarlo indicando que toda su información es pública y no requiere clasificación.

Además, la Declaración de Aplicabilidad también puede incluir un plan de implementación para cada control aplicable. Por ejemplo, si la organización decide que el control “Gestión de derechos de acceso del usuario” es aplicable, podría detallar un plan para implementar una política de acceso mínimo y capacitar a los empleados sobre su importancia.

Por último, pero no menos importante, la Declaración de Aplicabilidad debe ser revisada y aprobada por la alta dirección. Esto demuestra que la alta dirección está comprometida con la seguridad de la información y que comprende las decisiones tomadas en la Declaración de Aplicabilidad. Este compromiso es esencial para el éxito de la implementación de ISO 27001.

La Declaración de Aplicabilidad es una herramienta esencial para la implementación de la norma ISO 27001. Proporciona una visión clara de qué controles son aplicables a la organización, justifica cualquier exclusión y establece un plan para la implementación de los controles aplicables. Además, su revisión y aprobación por parte de la alta dirección demuestra un compromiso organizacional con la seguridad de la información.

¿Te parece complicado? No te preocupes, te ayudamos

Edorteam seremos un valioso apoyo para tu Responsable de Seguridad ayudándole en su formación y nuevas funciones. Contamos con el departamento de IT, que analizará la seguridad digital de tu empresa y realizará la Declaración de Aplicabilidad. A su vez, nuestro equipo legal supervisará todo el proceso garantizando pleno cumplimiento legal.

Cuenta con nosotros para guiarte en este proceso no solo porque te obligue la ley, también para actualizar y reforzar la ciberseguridad de tu empresa.