1 00:00:08,360 --> 00:00:15,060 La declaración de aplicabilidad se desarrolla luego del tratamiento de riesgos que a su vez es la actividad 2 00:00:15,060 --> 00:00:17,750 posterior a una evaluación de riesgos. 3 00:00:17,850 --> 00:00:23,790 El tratamiento tiene como objetivo la definición de las acciones a realizar para mitigar aquellos riesgos 4 00:00:23,790 --> 00:00:26,430 que han sido identificados y analizados. 5 00:00:27,640 --> 00:00:33,940 Uno de los documentos requeridos por la norma ISO veinti siete mil uno es la declaración de aplicabilidad 6 00:00:35,080 --> 00:00:43,430 miremos qué es una declaración de aplicabilidad S o A y para qué sirve este documento. 7 00:00:43,440 --> 00:00:50,940 Es un requisito del estándar ISO veinti siete mil uno pero puede ser utilizado para mantener registro 8 00:00:50,970 --> 00:00:54,320 y control de las medidas de seguridad aplicadas. 9 00:00:54,360 --> 00:01:01,980 Ese Opá por sus siglas en inglés enlista los controles de seguridad establecidos en el anexo A del estándar 10 00:01:02,070 --> 00:01:05,230 ISO y veinti siete mil uno. 11 00:01:05,700 --> 00:01:11,700 El anexo a suele ser utilizado como una referencia para la implementación de medidas de protección de 12 00:01:11,700 --> 00:01:18,210 la información así como para comprobar que no se están dejando de lado medidas de seguridad necesarias 13 00:01:18,450 --> 00:01:26,400 que no habían sido consideradas dentro de una organización un S o a no estar limitado a los que se encuentran 14 00:01:26,400 --> 00:01:32,390 listados en el anexo por lo cual pueden ser utilizados otros controles y objetivos de control. 15 00:01:32,460 --> 00:01:38,750 Si se considera necesario qué características tiene una declaración de aplicabilidad 16 00:01:41,320 --> 00:01:47,100 o puede encontrarse en el formato que más convenga a una organización. 17 00:01:47,330 --> 00:01:54,470 Lo relevante es su contenido que en general debe incluir los objetivos de control y controles seleccionados 18 00:01:54,470 --> 00:01:56,000 del estándar. 19 00:01:56,000 --> 00:02:02,660 Las razones por las cuales han sido seleccionados y medidas de seguridad adicionales si es el caso también 20 00:02:03,140 --> 00:02:10,670 debe indicar si los objetivos de control y controles se encuentran implementados y operando los que 21 00:02:10,730 --> 00:02:17,540 hayan sido descartados así como una justificación del por qué algunas medidas han sido excluidas las 22 00:02:17,540 --> 00:02:24,110 que son innecesarias y la razón del porqué no son requeridas en una organización. 23 00:02:24,110 --> 00:02:30,260 Los controles indicados en la declaración de aplicabilidad pueden ser seleccionados debido a distintas 24 00:02:30,260 --> 00:02:37,760 razones por ejemplo como resultado de una evaluación de riesgos si se debe cumplir con algún requisito 25 00:02:37,820 --> 00:02:38,860 legal. 26 00:02:38,960 --> 00:02:42,380 Obligaciones adquiridas por contratos o regulaciones. 27 00:02:42,380 --> 00:02:44,300 Nuevos requisitos del negocio. 28 00:02:44,360 --> 00:02:47,920 Mejores prácticas a utilizar entre otras. 29 00:02:47,930 --> 00:02:54,890 Posteriormente la selección de controles de seguridad deriva en la creación de un plan de tratamiento 30 00:02:54,890 --> 00:03:00,860 de riesgos principalmente para la definición de las actividades necesarias para la aplicación de los 31 00:03:00,860 --> 00:03:06,910 controles de seguridad que hayan sido seleccionados y que no se encuentren implementados. 32 00:03:07,010 --> 00:03:13,190 Por ejemplo si a partir de una evaluación de riesgos y de recurrentes casos de infección por malware 33 00:03:13,610 --> 00:03:20,240 se identificó la necesidad de aplicar un control contra códigos maliciosos se debe planear la adquisición 34 00:03:20,240 --> 00:03:22,610 de licenciamiento de antivirus. 35 00:03:22,610 --> 00:03:28,580 La actualización de procedimientos relacionados los encargados de las actividades de instalación y configuración 36 00:03:28,580 --> 00:03:35,990 del software las fechas propuestas para la finalización de estas tareas los recursos necesarios y todo 37 00:03:36,020 --> 00:03:37,970 lo que resulte del análisis previo. 38 00:03:39,110 --> 00:03:45,920 Esta información debería formar parte del plan de tratamiento de riesgos pero además el control antivirus 39 00:03:45,920 --> 00:03:53,540 deberá ser registrado en la declaración de aplicabilidad con las referencias necesarias que permitan 40 00:03:53,600 --> 00:03:59,210 asociarla a un manual procedimiento o control técnico implementado.