Ejemplo Declaración aplicabilidad de controles (SOA)

Hoy toca hablar del documento de aplicabilidad de controles (SOA). Parece sencillo (y en realidad lo es) pero conviene explicar ciertas cosas que pueden ayudarnos a la hora de redactar nuestro SOA.

Por un lado tenemos los controles, por otro si ha sido implementado o no y por otro las razones para tomar una u otra decisión. Con estos tres valores podemos construir una tabla donde se refleje un buen SOA.

¿Queremos un SOA más completo?, añadamos el nivel de madurez en el que se encuentra el control. Esto también se podrí­a poner en el plan de tratamiento, o en los dos sitios, pero es interesante que esté. El nivel de madurez de un control se puede definir de muchas formas distintas, pero una de las más acertadas podrí­a ser la siguiente:

NIVEL DE MADUREZ DE UN CONTROL

  • Planificado (no ha sido implementado nada).
  • Iniciado (estamos en ello).
  • Implantado sin documentar (ya está hecho pero falta documentarlo).
  • Implantado por auditar (está implantado, documentado y estamos esperando que nos lo auditen para comprobar si realmente cumple su objetivo o no).
  • Auditado.

Podrí­amos añadir dos más que serí­an: “revisado” y “mejoras”, que vendrí­an a decirnos si un control ha sido revisado y mejorado, y cómo se ha llevado a cabo dicha mejora en caso de que se haya producido.