La Declaración de Aplicabilidad (SoA) es el documento que ordena tu SGSI y guía toda auditoría ISO/IEC 27001. En la edición 2022, su rol se refuerza: debe conectar riesgos, controles y evidencias, justificar inclusiones y exclusiones, y reflejar el estado real de implantación. En esta guía encontrarás pasos prácticos para crear y mantener una SoA que aporte valor a la dirección, a los equipos y que resista las preguntas más difíciles de un auditor.
Para qué sirve la SoA (y para quién)
- Para la dirección: ofrece una visión ejecutiva de qué controles se implementan, por qué y qué riesgos cubren.
- Para los equipos: define responsabilidades, evidencias y cómo se mide la eficacia.
- Para el auditor: es el mapa que estructura entrevistas, muestras y la verificación de evidencias.
Estructura esencial de una SoA útil
Una SoA práctica debe incluir, como mínimo:
- Control (nombre y referencia).
- Riesgo(s) asociado(s).
- Justificación de inclusión o exclusión.
- Estado (implantado / en progreso / no aplica).
- Propietario (rol responsable).
- Evidencias (tickets, informes, repositorios).
- Métrica de eficacia.
- Modo de verificación (auditoría, revisión de accesos, pruebas de restauración).
- Dependencias (políticas, procedimientos, otros controles relacionados).
Consejo: evita textos largos en “justificación” y “evidencias”. Sé breve y enlaza a repositorios concretos.
Pasos para construirla (o reconstruirla)
- Alinear alcance y riesgos.
- Mapear riesgos a controles.
- Decidir inclusiones y exclusiones justificadas.
- Asignar propietarios y evidencias.
- Definir métricas simples y útiles.
- Hacer revisión cruzada con TI, Seguridad, Riesgos y Compliance.
- Aprobar, publicar y difundir.
- Mantener viva tras cada cambio relevante (cláusula 6.3).
Cómo justificar exclusiones sin exponerte
Ejemplos válidos:
- “No aplica porque no operamos centros de datos propios; gestionamos configuración y cifrado en nube con controles X e Y”.
- “No aplica en plantas A y B (fuera de alcance); sí aplica en sede C”.
Evita fórmulas vagas como “no aplica por política”. El auditor buscará coherencia con tu análisis de riesgos.
Nube y proveedores: el punto ciego más habitual
Para servicios cloud y terceros críticos, deja clara la responsabilidad compartida:
- Qué controla tu organización: configuración, IAM, cifrado, monitoreo, continuidad.
- Qué controla el proveedor: infraestructura, certificaciones.
- Qué evidencias revisas: reportes, métricas, auditorías, cláusulas contractuales.
Métricas simples que funcionan
- Backups: tasa de restauraciones exitosas y tiempos de recuperación.
- Vulnerabilidades/parches: % cerradas dentro del SLA.
- Accesos: % de revisiones de privilegios completadas a tiempo.
- Incidentes: tiempo medio de detección y respuesta.
- Continuidad: resultados de pruebas de recuperación y planes de mejora.
Errores frecuentes (y cómo evitarlos)
- SoA desalineada con la matriz de riesgos.
- Exclusiones débiles o mal justificadas.
- Evidencias genéricas (“ver carpeta SGSI”).
- Controles sin propietario ni métrica.
- No actualizar tras cambios relevantes.
Mini-ejemplo de SoA (extracto ilustrativo)
| Control | Riesgo asociado | Estado | Propietario | Evidencia | Métrica | Verificación |
| Gestión de identidades y accesos | Acceso no autorizado a datos críticos | Implantado | Responsable TI | Tickets IAM, revisión trimestral | 100% bajas en ≤24h, revisión trimestral | Auditoría interna + muestreo |
| Copias de seguridad y restauración | Pérdida de datos / ransomware | Implantado | Operaciones | Registro de restauraciones | ≥1 restauración/mes por sistema crítico | Prueba de restauración + dirección |
| Seguridad en servicios en la nube | Configuración insegura / fuga de datos | En progreso | Arquitectura | Informe hardening, contrato proveedor | 0 hallazgos críticos en escaneos mensuales | Auditoría interna + proveedor |
Cómo presentar la SoA en auditoría (y a tu dirección)
- Resumen ejecutivo de 1 página: número de controles por estado, riesgos cubiertos, hitos recientes.
- Navegación rápida: tabla filtrable con enlaces directos a evidencias.
- Muestreo preparado: marcar de antemano las evidencias clave según procesos y sedes a auditar.
En Certhia certificamos bajo acreditación ENAC y ayudamos a que cada auditoría sea clara, ágil y con foco en la eficacia. Si tu organización busca certificación ISO/IEC 27001:2022, conoce más aquí ↳ https://certhia.cl/contacto
