ISO 27000.es

El portal de ISO 27001 en Español


DestacaDos Certificación

assets/images/certificacion1.png assets/images/certificacion2.png

El número de certificaciones ha aumentado considerablemente en los últimos años como demostración de la relevancia que tiene la protección de la información para el desarrollo de las actividades de las organizaciones y para mantener y desarrollar el tejido industrial de los diferentes países y en todo el mundo.


Existe información regular aportada por ISO en el documento ISO Survey donde se informa de manera detallada y a año vencido (p.ej. la publicación del presente año refleja los totales para el año anterior completo a fecha 31 de diciembre) del resultado en el número de certificaciones acreditadas con referencia a las regiones, países, sectores industriales de mayor implantación, entre otros, tanto para ISO/IEC 27001 como para otros sistemas de gestión (ISO/IEC 9001, ISO 14001, ISO 22000, ISO 50001, entre otros).


Auditoría


Certificación

La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable.


Esto quiere decir que la organización que tenga implantado un SGSI puede solicitar una auditoría a una entidad certificadora acreditada y, caso de superar la misma con éxito, obtener una certificación del sistema según ISO 27001.


doc_certificacion_all_archivos/image002.jpg

Proceso Auditoría

Una vez implantado el SGSI en la organización, y con un historial demostrable de al menos 3 meses, se puede pasar a la fase de auditoría y certificación, que se desarrolla de la siguiente forma:


  • Solicitud de la auditoría por parte del interesado a la entidad de certificación y toma de datos por parte de la misma.
  • Respuesta en forma de oferta por parte de la entidad certificadora.
  • Compromiso.

  • Designación de auditores, determinación de fechas y establecimiento conjunto del plan de auditoría.
  • Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real.
  • Fase 1 de la auditoría: no necesariamente tiene que ser in situ, puesto que se trata del análisis de la documentación por parte del Auditor Jefe (fundamentalmente centrada en el listado de la cláusula 4.3.1 del estándar ISO/IEC 27001:2005 y que ya no aplica en la versión ISO/IEC 27001:2013, estableciendose la información documentada requerida por la propia empresa y en atención a las indicaciones de la nueva versión del estándar) y la preparación del informe de la documentación básica del SGSI del cliente, destacando los posibles incumplimientos de la norma que se verificarán en la Fase 2. Este informe se envía junto al plan de auditoría al cliente. El periodo máximo entre la Fase 1 y Fase 2 puede ser de 6 meses con carácter general, aunque supeditado en cualquier caso a los procedimientos internos que cada entidad de certificación disponga para el desarrollo del proceso (conviene por tanto aclarar con la entidad de certificación previamente y antes de inciar el proceso).
  • Fase 2 de la auditoría: es la fase de detalle de la auditoría, en la que se revisan in situ las políticas, la implantación de los controles de seguridad y la eficacia del sistema en su conjunto. Se inicia con una reunión de apertura donde se revisa el objeto, alcance, el proceso, el personal, instalaciones y recursos necesarios, así como posibles cambios de última hora. Se realiza una revisión de las exclusiones según la Declaración de Aplicabilidad (documento SOA), de los hallazgos de la Fase 1, de la implantación de políticas, procedimientos y controles y de todos aquellos puntos que el auditor considere de interés. Finaliza con una reunión de cierre en la que se presenta el informe de auditoría.

  • Certificación: en el caso de que se descubran durante la auditoría no conformidades (clasificadas como "mayores" y/o "menores"), la organización deberá presentar un Plan de Acciones Correctivas (1 PAC para cada desviación localizada) que incluya un análisis de las causas raíz que originaron la desviación. El auditor jefe debe revisar todos los PAC que la empresa envié, incluso verificar la implantación de las acciones correctivas en base al PAC en el caso de las "Mayores" y, una vez verificados los PAC y/o dicha implantación en el caso de las no conformidades mayores, el auditor podrá emitir un informe favorable de recomendación para la certificación a la comisión de certificación, que validará y emitirá el certificado correspondiente al alcance del SGSI de la organización que ha sido verificado en relación a los requisitos del estándar ISO 27001.
  • Auditoría de seguimiento: semestral o, al menos, anualmente, debe realizarse una auditoría de mantenimiento; esta auditoría se centra, generalmente, en partes del sistema, dada su menor duración, y tiene como objetivo comprobar el uso del SGSI y fomentar y verificar la mejora continua.
  • Auditoría de re-certificación: cada tres años, es necesario superar una auditoría de certificación formal completa como la descrita.

Las organizaciones certificadas a nivel mundial en ISO 27001 (o, anteriormente, en BS 7799-2) por entidades acreditadas figuran listadas en http://www.iso27001certificates.com.


Para aquellas organizaciones que lo han autorizado, también está publicado el alcance de certificación.


Naturalmente, la organización que implanta un SGSI no tiene la obligación de certificarlo. Sin embargo, sí es recomendable ponerse como objetivo la certificación, porque supone la oportunidad de recibir la confirmación por parte de un experto ajeno a la empresa de que se está gestionando correctamente la seguridad de la información, añade un factor de tensión y de concentración en una meta a todos los miembros del proyecto y de la organización en general y envía una señal al mercado de que la empresa en cuestión es confiable y es gestionada transparentemente.



Auditores

Cualificación

En general, se distinguen tres clases de auditores:


  • de primera parte: auditor interno que audita la organización en nombre de sí misma, normalmente, como mantenimiento del sistema de gestión y como preparación a la auditoría de certificación.
  • de segunda parte: auditor de cliente, es decir, que audita una organización en nombre de un cliente de la misma; por ejemplo, una empresa que audita a su proveedor de outsourcing.
  • de tercera parte: auditor independiente, que audita una organización como tercera parte imparcial; normalmente, porque la organización tiene la intención de lograr la certificación y contrata para ello los servicios de una entidad de certificación.

El auditor, sobre todo si actúa como de tercera parte, ha de disponer también de una certificación personal. Esto quiere decir que, nuevamente un tercero (entidad de certificación revisada por una entidad de acreditación o mediante el registro del auditor en registros de auditores internacionalmente reconocidos como IRCA), certifica que posee las competencias profesionales y personales necesarias para desempeñar la labor de auditoría de la materia para la que está certificado.


Al auditor se le exigen una serie de atributos personales, conocimientos y habilidades, educación formal, experiencia laboral y formación como auditor. Estos lineamientos son necesarios que sean conocidos por todo tipo de auditores (internos, segunda parte y certificación) ya que el documento UNE-EN ISO/IEC 19011 (en su versión traducida por AENOR en España) contiene la descripción de todas las actividades necesarias y fundamentales para desarrollar con éxito un programa completo de auditoría.


Esta norma ha sido recientemente revisada y existe documentación relevante (click en la siguiente imagen para acceso a la presentación completa) puesta a disposición en la web de la Asociación Española de Calidad (entre otras entidades), así como, cursos de actualización para los auditores.


doc_certificacion_all_archivos/image006.jpg


La norma UNE-EN ISO/IEC 17021:2011 "Evaluación de la conformidad. Requisitos para los organismos que realizan la auditoría y la certificación de sistemas de gestión", tiene por objeto aumentar la confianza en los certificados emitidos conforme a las normas de sistema de gestión, tales como ISO 9001, ISO 14001 e ISO 27001.


Esta norma establece nuevos requisitos para la auditoría de los sistemas de gestión y para la competencia del auditor con el fin de aumentar el valor de la certificación del sistema de gestión de las organizaciones del sector público y privado en todo el mundo. En la primera edición de 2006 se establecieron seis principios: imparcialidad, competencia, responsabilidad, transparencia, confidencialidad, y tratamiento de quejas. Estos principios constituyen la base para los requisitos específicos que figuran en la norma.


La nueva edición de ISO/IEC 17021:2011 mantiene estos principios y los requisitos, pero agrega nuevos requisitos desarrollados en respuesta a los comentarios del mercado sobre el uso de la primera edición. Los nuevos requisitos previstos en la norma se refieren a la competencia de los auditores que llevan a cabo la certificación y la forma en que se manejan y desempeñan. El cumplimiento de estos requisitos tiene por objeto garantizar que los organismos de certificación operen de manera competente, consistente e imparcial.

Registros profesionales

El auditor es la persona que comprueba que el SGSI de una organización se ha diseñado, implementado, verificado y mejorado conforme a lo detallado en la norma.


IRCA (International Register of Certificated Auditors) es el mayor organismo mundial de certificación de auditores de sistemas de gestión. Tiene su sede en el Reino Unido y, por ello -debido al origen inglés de la norma BS 7799-2 y, por tanto, de ISO 27001-, tiene ya desde hace años un programa de certificación de auditores de sistemas de gestión de seguridad de la información.


doc_certificacion_all_archivos/image007.jpg


Su página web, también en español, es una buena fuente de consulta de los requisitos y los grados de auditor de uso como referencia y reconocimiento a nivel internacional. Dispone de un enlace directo a las últimas novedades del IRCA desde nuestra sección de boletines.


En cuanto a la práctica de la auditoría, al auditor se le exige que se muestre ético, con mentalidad abierta, diplomático, observador, perceptivo, versátil, tenaz, decidido y seguro de sí mismo. Estas actitudes son las que deberían crear un clima de confianza y colaboración entre auditor y auditado. El auditado debe tomar el proceso de auditoría siempre desde un punto de vista constructivo y de mejora continua, y no de fiscalización de sus actividades. Para ello, el auditor debe fomentar en todo momento un ambiente de tranquilidad, colaboración, información y trabajo conjunto.


Existen diversas organizaciones internacionales de certificación de auditores, con el objeto de facilitar la estandarización de requerimientos y garantizar un alto nivel de profesionalidad de los auditores, además de homologar a las instituciones que ofrecen cursos de formación de auditor. Algunas de estas organizaciones son IRCA o RABQSA.


Certificadoras

Función

Las entidades de certificación son organismos de evaluación de la conformidad, encargados de evaluar y realizar una declaración objetiva de que los servicios y productos cumplen unos requisitos específicos.


En el caso de ISO 27001, certifican, mediante la auditoría, que el SGSI de una organización se ha diseñado, implementado, verificado y mejorado conforme a lo detallado en la norma.

Entidades de certificación

Existen numerosas entidades de certificación en cada país, ya que se trata de una actividad empresarial privada con un gran auge en el último par de décadas, debido a la creciente estandarización y homologación de productos y sistemas en todo el mundo. La organización que desee certificarse puede contactar a diversas entidades certificadoras y solicitar presupuesto por los servicios ofrecidos, comparando y decidiéndose por la más conveniente, como hace con cualquier otro producto o servicio.


Para que las entidades de certificación puedan emitir certificados reconocidos, han de estar acreditadas. Esto quiere decir que un tercero, llamado organismo de acreditación, comprueba, mediante evaluaciones independientes e imparciales, la competencia de las entidades de certificación para la actividad objeto de acreditación. En cada país suele haber una sola entidad de acreditación (en algunos, hay más de una), a la que la Administración encarga esa tarea. En España, es ENAC (Entidad Nacional de Acreditación) ; para otros países, puede consultarse esta lista.


La acreditación de entidades de certificación para ISO 27001 o para BS 7799-2 -antes de derogarse- solía hacerse en base al documento EA 7/03 "Directrices para la acreditación de organismos operando programas de certificación/registro de sistemas de gestión de seguridad en la información". La aparición de la norma ISO/IEC 27006 ha supuesto la derogación del anterior documento.


Las entidades de acreditación establecen acuerdos internacionales para facilitar el reconocimiento mutuo de acreditaciones y el establecimiento de criterios comunes. Para ello, existen diversas asociaciones como IAF (International Accreditation Forum) o EA (European co-operation for Accreditation).




Transición

Modificaciones

La adopción de los requisitos especificados en la nueva publicación ISO/IEC 27001:2013 no deberían significar grandes esfuerzos para aquellas organizaciones ya certificadas o que estén finalizando la implantación de su SGSI según la versión del 2005.


Por el contrario, la nueva publicación ofrece oportunidades de simplificacion y reducción de esfuerzos en cuestiones relevantes (p.ej. aplicación de metodologías de análisis del riesgo) para una adopción más natural e integrada con el negocio.


A continuación se indican las diferencias fundamentales entre las dos versiones a modo de orientación:


assets/images/transicioniso27001.png


A continuación resaltamos las consideraciones a modo resumido de los cambios entre versiones pero, debido a que son opiniones particulares, recomendamos en cualquier caso que adquiera la norma ISO/IEC 27001:2013 para disponer de toda la información de un modo completo y conciso.


0. Introducción
Similar a la versión del 2005, la introducción se ha actualizado en relación a los contenidos de la nueva publicación.

Mencionar la nueva estructura de cláusulas utilizadas para la publicación y que es común desde la publicación del estándar ISO 22301 (2012) a todos los estándares relacionados con los sistemas de gestión. Por este motivo ya no tiene sentido un Anexo informativo (Anexo C en el caso de la versión ISO/IEC 27001:2005) en el que se equiparan las cláusulas entre las distintas publicaciones.

Otra de las novedades es la eliminación del "enfoque a procesos" representado típicamente por el diagrama con el modelo "PDCA" característico hasta ahora en las publicaciones de los sistemas de gestión. ISO considera que el requisito fundamental es realmente la "mejora continua" y que podrían existir otras maneras alternativas al "enfoque a procesos" igualmente efectivas y aceptadas de alcanzarla aunque en cualquier caso sigue siendo este enfoque válido además de comúnmente aceptado.

Aunque la publicación de requisitos ISO/IEC 27001 nunca tuvo como objetivo ser una guía ordenada y secuencial de implantación de los requisitos, la forma de publicación de la nueva versión acentúa que lo realmente importante es llegar al punto de que todos los requisitos del estándar se cumplan e independientemente de la secuencia y/o programación de tareas de implantación elegida por las organizaciones para llegar a cumplirlos.

1. Objeto y campo de aplicación
Similar a la versión del 2005, aunque ahora es una descripción más reducida. La necesidad de cumplimiento de todos requisitos indicados en las cláusulas del estándar se mantiene.

2. Normas para consulta
Se elimina en la nueva versión la referencia a ISO/IEC 27002 ya que se reconoce que las referencias del Anexo A son suficientes para producir la Declaración de Aplicabilidad (SoA en su denominación inglesa).

Esto significa que, aunque ISO/IEC 27002 sigue siendo una ayuda directa y útil para la determinación de controles de seguridad, realmente se reconoce que no es indispensable ya que puede haber otras interpretaciones o estándares alternativos/complementarios preferidos por las organizaciones para cubrir todos o parte de los objetivos de control y de los controles y de un modo más específico.

La única referencia especificada en la nueva versión del 2013 es ISO/IEC 27000 y que es indispensable ya que contiene todos los términos y definiciones necesarios para interpretar adecuamente ISO/IEC 27001.

3. Términos y definiciones
Se han eliminado todas las definiciones de la versión 2005 y aquellas relevantes se han reubicado en el estándar ISO/IEC 27000 con el objetivo de consolidar la validez e interpretación de los mismos términos y definiciones en todas las publicaciones de la serie 27000.

El uso de ciertos términos y definiciones en el ámbito de la seguridad de la información es una cuestión delicada que puede llevar a la confusión ya que algunos términos pueden tener un significado distinto al que uno piensa. Por este motivo, es importante disponer de IS/IEC 27000 a mano y confirmar las implicaciones que puedan tener para la correcta interpretación de los estándares, especialmente en el caso de los requisitos especificados en ISO/IEC 27001.

4. Sistema de Gestión
Es la clásula de 2005 más afectada por el nuevo formato de publicación, además de los cambios introducidos en los propios requerimientos, ya que incluía cada una de las fases del proceso PDCA.

La cláusula "4.1 Requisitos generales" de implantación de un SGSI de la versión 2005 pasa a formar parte de la cláusula "4.4 Sistema de Gestión de la Seguridad de la Información" del nuevo estándar 2013. Se ha eliminado en la versión de 2013 la referencia explícita al "enfoque a procesos" por coherencia en los cambios de la cláusula "0. Introducción" comentados anteriormente.

Los requisitos para determinar el alcance del SGSI (cláusula 4.2.1 a) versión 2005) pasan a la cláusula 4.3 de la versión 2013 aunque se deben considerar ahora dos nuevos apartados de requisitos referenciados precisamente desde 4.3 y denominados “4.1 Entender la organización y su contexto” y “4.2 Entender las necesidades y expectativas de las partes interesadas”.

A efectos prácticos, las organizaciones deben revisar sus definiciones de alcance para confirmar la conformidad con estos nuevos requisitos mencionando lo qué están haciendo al respecto y cómo lo contemplan en el SGSI actualmente.

Los requisitos para el establecimiento del marco de objetivos (cláusula 4.2.1 (b)(1) versión 2005) se localizan en la cláusula 6.2 del nuevo estándar y con nuevos matices. Los objetivos deben ahora establecerse en relación a “funciones y niveles relevantes” y con una clara determinación de necesidades asociadas para poder saber en qué grado se están alcanzando estos objetivos. Esto es una clara diferencia a la versión anterior de 2005 donde los objetivos habitualmente formaban parte de la política en un ámbito más general menos definido y/o detallado.

Por otra parte, ya no es un requisito el establecer un marco definido de objetivos y los objetivos pueden permanecer únicamente dentro de la política de seguridad de la información aunque sin olvidar cumplir con los nuevos requisitos indicados anteriormente.

Los requisitos para análisis y evaluación del riesgo (4.2.1 c), d) y e) en versión 2005) pasan ahora a la cláusula 6.1.2 del nuevo estándar. Del mismo modo, los requisitos para el tratamiento del riesgo (4.2.1 f) y g) de la versión 2005) y producción del SOA (4.2.1 j) en versión 2005) se localizan ahora en cláusula 6.1.3 versión del 2013.

En estos apartados se localizan importantes cambios entre las versiones que interpretamos a continuación:
  • Los requisitos para el análisis del riesgo no son tan detallados por la alineación de ISO/IEC 27001 con el estándar ISO 31000:2009 (“Gestión de Riesgos — Guías y principios”)
  • Aunque se pueden mantener los requisitos considerados en la versión de 2005 sin problemas, ya no es requisito necesario identificar activos, amenazas y vulnerabilidades dentro del proceso de identificación de los riesgos. Los cambios en estos requisitos a un nivel más general y en la nueva versión amplían por tanto el tipo de metodologías con nuevas variantes y/o alternativas a las indicadas en la versión del 2005 y que se pueden ahora aplicar de manera alineada con ISO/IEC 27001 para identificar los riesgos.
  • Las especificaciones sobre la Declaración de Aplicabilidad se mantienen sin cambios expecto por el matiz de que el nuevo estándar aclara que "no se seleccionan controles del Anexo A" sino que la organización "determina los controles necesarios como parte del tratamiento del riesgo y se comparan estos controles con el Anexo A para garantizar que no se han omitido controles importantes".
  • Entre los requisitos de la cláusula 6.1.1 de 2013 se localiza, entre otros, la mención a las denominadas acciones preventivas de la versión 2005 (8.3) aunque en consideración al "riesgo" y no como una cuestión a contemplar de forma específica y en sí misma.
Los requisitos en la documentación requerida por el SGSI (cláusula 4.3 de la versión 2005) permanecen sin cambios sustanciales en la cláusula 7.5 de la nueva publicación, aunque no se indiquen ahora en forma de lista concreta enumerada .Se ha tratado de evitar la producción "uno a uno" de documentos asociados a este tipo de listados y la consiguiente duplicación habitual a efectos prácticos ya que lo importante es que los contenidos se localicen independientemente de los formatos y nombres utilizados en la documentación. La única excepción en este sentido es la Declaración de Aplicabilidad o SoA.

Únicamente destacar la aplicación de "información documentada" y asociada a los diversos requisitos relevantes de la nueva versión en lugar del uso diferenciado como "documentación y registros".

Finalmente, los requisitos para la provisión de recursos necesarios por el SGSI (cláusula 5.2.1 en versión 2005) pasa ahora a la cláusula 7.1 del nuevo estándar, mientras que los requisitos en formación, concienciación y competencias (cláusula 5.2.2 de la versión 2005) se reparten ahora entre las cláusulas 7.2 y 7.3.

Hay una nueva sección de requisitos en la cláusula 7.4 de la nueva norma relativos al procedimiento a seguir para la comunicación interna pero también con entidades externas en relación aspectos relacionados con la seguridad de la información.

5. Responsabilidad de la Dirección
Los requisitos del compromiso de la Dirección permanecen en los dos estándares en la cláusula 5.1 con mayor necesidad de detalle en los casos de:
  • Política (5.2)
  • Roles, responsabilidad y autoridades en la organización (5.3)
  • La nueva versión del estándar no diferencia más entre "Política del SGSI" y la "Política de Seguridad de la Información". Sólo se considera una "política de seguridad de la información" (que puede ser documentada bajo la denominación particular de cada organización) aunque permanecen cuestiones que deben ser consideradas específicas de la "política del SGSI" como "criterio en los riesgos", entre otros posibles, por lo que no se debe eliminar esta política directamente sin una consideración de adaptación y/o consolidación previa.

6. Auditorías internas + 7. Revisión SGSI por la Dirección
Los requisitos para la auditoría interna y revisión por la dirección (cláusulas 6 y 7 de la versión 2005) se localizan ahora en las cláusulas 9.2 y 9.3 del nuevo estándar respectivamente.

La medición de la eficacia (cláusulas 4.2.2 d) y 4.2.3 c)) pasan ahora a formar parte de las consideraciones de la cláusula 9.1 del nuevo estándar y de forma más detallada.

8. Mejora del SGSI
Los requisitos para la mejora continua y acciones correctivas (cláusulas 8.1 y 8.2 de la versión 2005) pasan a formar parte de la cláusula 10.2 y 10.1 del nuevo estándar respectivamente.

Los requisitos de las acciones preventivas (cláusula 8.3) se replantean en la nueva sección 6.1.1 como parte de los requisitos generales de la evaluación del riesgo. En este sentido, los requisitos de la versión 2005 no desaparecen, sólo se mencionan de un modo distinto.

Anexo A
El Anexo A ser reorganiza ahora en 14 dominios (11 en la versión 2005), 35 objetivos de control (39 en versión 2005) y 114 controles (133 en versión 2005).

Los Anexos B y C (ambos de carácter informativo en la versión 2005) desaparecen en la nueva versión de 2013 por la ya reconocida importancia de la seguridad de la información en las economías modernas que dependen de la información para la producción y prestación de los servicios esenciales, además de la nueva estructura común de publicación de normas para los sistemas de gestión respectivamente.

Certificaciones ya Emitidas

Para organizaciones ya certificadas en el momento de la publicación de ISO/IEC 27001:2013 pueden mantener sus auditorías periódicas de seguimiento en la versión de 2005 hasta un período orientativo máximo de 24 meses auqnue siempre debe preguntar a su entidad de certificación sobre los plazos concretos establecidos para efectuar la migración.


Durante este periodo la organización deberá adaptarse y demostrar en alguna visita de auditoría externa (o incluso extraordinaria en el caso de aprovechar el ciclo planificado de visitas de auditoría externa) haber completado la transición a la nueva norma.


Cualquier certificación emitida respecto a ISO/IEC 27001:2005 perderá su validez a partir de los 24 meses (2015) de la publicación de la norma e independientemente de que su emisión indique una fecha de caducidad posterior a esta fecha ya que no podrán desarrollarse las auditorías de seguimiento en base a la versión del 2005 requeridas como garantía de su mantenimiento.

Certificaciones Iniciales

Para las organizaciones que tengan previsto certificarse en ISO/IEC 27001 después de la publicación de ISO/IEC 27001:2013 podrán pasar su auditoría inicial de certificación en la versión del 2005 sin problemas y durante un período máximo orientativo de 12 meses (confirmar con la entidad de certificación elegida) desde la publicación de la nueva norma (hasta Octubre 2014).


Una vez realizada la certificación inicial deberán proceder con la adaptación a la última versión del estándar tal y como se explica anteriormente para el caso de "certificaciones ya emitidas".


Después de Octubre 2014, sólo se podrán desarrollar auditorías iniciales de certificación según ISO/IEC 27001:2013.