Certificación

Aquellas organizaciones que tengan implantado un SGSI pueden solicitar una auditoría a una entidad certificadora acreditada obteniendo una certificación del sistema en ISO/IEC 27001 como demostración de éxito.


Introducción

El número de certificaciones en ISO/IEC 27001 ha aumentado progresivamente convirtiéndose, en los últimos años, en uno de los principales sistemas de gestión implementados a nivel mundial.

Es un hecho evidente en cualquier país del mundo, la relevancia que tiene la protección de la información para el desarrollo de las actividades de las organizaciones en el mantenimiento y desarrollo del tejido industrial, así como, de la protección de los derechos generales e individuales de los ciudadanos en la sociedad de la información de este nuevo siglo.

Envíar una señal a los mercados y/o a la sociedad de una gestión eficaz, transparente y verificable

Contrastar con los expertos de las entidades externas reconocidas el grado de gestión correcta de los riesgos y procesos relevantes asociados a la seguridad de la información

Añadir un factor de tensión positiva y de concentración a todos los miembros de la organización

Garantizar los recursos mínimos necesarios para el mantenimiento del SGSI y las actividades de monitorización continuas

Existen ventajas claras en someterse al proceso de certificación de los SGSI. En cualquier caso, es necesario aclarar que la norma ISO/IEC 27001 no contiene entre sus objetivos el de ser certificada ni existe la obligación de certificar un SGSI implantado y mantenido por una organización.

Las actividades desarrolladas por parte de entidades de certificación se establecen dentro de una amplia gama de servicios que desde el mercado se ofrecen a las organizaciones.

Las auditorías internas ofrecidas por entidades de consultoría, asesoría, freelancers, entre otros, son igualmente servicios ofrecidos en libre competencia y, por tanto, no existen generalmente consideraciones del tipo "organismos/entidades/empresas oficiales" que puedan realizar estas labores en exclusiva.

La seleccion y elección por parte de la organización de entidades y profesionales recononocidos por el cumplimiento de garantías de competencia, profesionalidad y puntualidad de manera transparente y confiable es fundamental para el éxito final en la implantación, mantenimiento y certificación del SGSI.


Proceso de Auditoría

Una vez implantado el SGSI en la organización, y con un historial demostrable de actividad de los procesos del sistema de gestión recomendado de al menos 3 meses, se puede pasar a la fase de auditoría y certificación, que se desarrolla de la siguiente forma:

1

Selección y compromiso

Solicitud de la auditoría por parte del interesado a la entidad de certificación y toma de datos por parte de la misma con una respuesta en forma de oferta por parte de la entidad certificadora.

El compromiso con la entidad de certificación seleccionada se espera se realice en función de los criterios de exigencia establecidos, entre otros: volumen de contratación/costes, cercanía/idioma, calidad del equipo auditor disponible, calidad y rapidez demostrable en la gestión de los servicios, reputación/alcance de los trabajos y/o de los certificados emitidos (local, regional, global), ...

Es importante destacar que, aunque los costes de los servicios puede variar entre distintas entidades de certificación, el número de jornadas de auditoría ofertadas por las distintas entidades nunca deben ser un factor diferencial.

Desconfie de aquellas entidades que ofrecen un número de jornadas claramente más reducido que el resto de competidoras. Este número atiende a criterios internacionalmente establecidos (ver apartado sobre las entidades más abajo) que las entidades deben obligatoriamente cumplir, incurriendo en una posible retirada anticipada de la validez de los certificados emitidos por estas entidades cuando se descubre por las entidades de acreditación que supervisan a estas entidades o la falta de reconocimiento de los certificados emitidos por aquellas entidades que no se someten a este proceso de supervisión (no acreditadas).

2

Pre-auditoría (opcional)

Puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real.

Suele contratarse para entornos y/o alcances del SGSI en los que no hay apenas referencias de implantación y/o experiencia por parte de personal de consultoría y/o por la propia organización.

3

Contacto inicial

Designación de auditores y establecimiento conjunto, entre el Líder designado del equipo de auditoria y la persona de contacto designada por la organización, para confirmar el plan de auditoría a desarrollar durante las fechas acordadas.

4

Fase I o Auditoría "documental"

No necesariamente tiene que ser una visita in situ, puesto que se trata del análisis de la documentación por parte del Auditor Jefe, revisando la información documentada principal del SGSI requerida por el estándar junto a la desarrollada por la propia organización (políticas, procesos, procedimientos).

Como resultado de esta fase, el informe de la visita cubre el resultado de comprobar los contenidos de la documentación básica del SGSI del cliente destacando posibles incumplimientos que deberán ser corregidos mediante las correspondientes medidas correctivas y/o verificaciones adicionales que se revisarán durante la Fase II.

El periodo máximo entre la Fase I y Fase II puede ser de 6 meses con carácter general, aunque supeditado en cualquier caso a los procedimientos internos que cada entidad de certificación disponga para el desarrollo del proceso (conviene por tanto aclarar con la entidad de certificación previamente y antes de inciar el proceso).

5

Fase II o Auditoría "in situ"

Si la fase I tiene por objetivo entender el contenido de la documentación para establecer el SGSI, durante la fase II se verifica el nivel de implantación y eficacia alcanzados según el plan e intenciones iniciales de la organización según los objetivos del SGSI.

Se revisa in situ con los implicados en el alcance el grado de ejecución de aquellas políticas, procedimentos, procesos, implantación de los controles de seguridad y, en definitiva, la eficacia del sistema en su conjunto. Se realiza una revisión de las exclusiones según la Declaración de Aplicabilidad (documento SOA), de los hallazgos obtenidos durante la Fase I anterior, así como todos aquellos puntos que el auditor considere de interés y en base a técnicas muestrales. Finaliza con una reunión de cierre en la que se presenta el informe de auditoría con una recomendación favorable (o no) de la emisión del certificado junto con las actividades y fechas a cubrir por el auditado en el caso de localizarse desviaciones (no conformidades) durante esta visita.

6

Certificación

Si se descubren durante la auditoría no conformidades (clasificadas como "mayores" y/o "menores"), la organización deberá presentar un Plan de Acciones Correctivas (un PAC para cada desviación localizada) que incluya un análisis de las causas raíz que originaron la desviación junto a las acciones correspondientes que eviten su repetición por las mismas causas/factores.

El auditor jefe debe revisar cada PAC enviado con la verificación de la implantación de las acciones correctivas del PAC en el caso de las desviaciones "Mayores" en fechas extraordinarias de visita que deben acordarse con el cliente. 

Finalmente, el auditor podrá emitir un informe favorable de recomendación para la certificación a la comisión de certificación, que validará y emitirá el certificado correspondiente al alcance del SGSI de la organización que ha sido verificado en relación a los requisitos del estándar ISO/IEC 27001.

7

Auditoría de seguimiento

Eñ periodo de validez inicial de un certificado es de tres años aunque supeditado al resultado positivo de mantenimiento del SGSI durante este periodo de tiempo.

Por este motivo, existen auditorías de seguimiento que se cubren típicamente anualmente aunque, existe la posibilidad de fraccionar las jornadas de estas visitas semestralmente.

Por tanto, el objetivo principal de estas visitas es comprobar que los requisitos del estándar de gestión se mantengan efectivamente abordados por la organización y que el SGSI esté demostrando la capacidad de apoyar el logro de los requisitos legales, reglamentarios y contractuales y los objetivos específicos de la organización, según corresponda con respecto al alcance del estándar de gestión, y para confirmar el logro y la aplicabilidad del plan estratégico de forma continua.

Las visitas de seguimiento tiene una duración menor, por tanto, se revisan parcialmente algunos requisitos del SGSI (p.ej. controles del Anexo A) en base al programa de auditoría externo establecido durante la visita inicial de certificación y que se revisa y actualiza convenientemente según las novedades en los hallazgos y riesgos observados por el equipo auditor.

Desviaciones de caracter mayor no resueltas durante las auditorías de seguimiento en los tiempos establecidos pueden desencadenar finalmente a la retirada anticipada de un certificado aunque su vigencia inicial en la emisión sea de tres años.

8

Auditoría de re-certificación

Cada tres años, es necesario superar una auditoría de certificación formal completa como la descrita para las Fases I y Fase II aunque, en este caso, no hay separación de fases aunque los tiempos sí sean similares ya que se deben revisar todos los apartados de la norma.


Auditores

En general, se distinguen tres clases de auditores:

    de primera parte: auditor interno que audita la organización en nombre de sí misma, normalmente, como mantenimiento del sistema de gestión y como preparación a la auditoría de certificación. 

    de segunda parte: auditor de cliente, es decir, que audita una organización en nombre de un cliente de la misma; por ejemplo, una empresa que audita a su proveedor de outsourcing.

    de tercera parte: auditor independiente, que audita una organización como tercera parte imparcial; normalmente, porque la organización tiene la intención de lograr la certificación y contrata para ello los servicios de una entidad de certificación.

El auditor es la persona que comprueba que el SGSI de una organización se ha diseñado, implementado, verificado y mejorado conforme a lo detallado en la norma.

Al auditor se le exigen una serie de atributos personales, conocimientos y habilidades, educación formal, experiencia laboral y formación como auditor.

En la práctica de la auditoría, al auditor se le exige que se muestre ético, con mentalidad abierta, diplomático, observador, perceptivo, versátil, tenaz, decidido y seguro de sí mismo. Estas actitudes son las que deberían crear un clima de confianza y colaboración entre auditor y auditado. El auditado debe tomar el proceso de auditoría siempre desde un punto de vista constructivo y de mejora continua, y no de fiscalización de sus actividades. Para ello, el auditor debe fomentar en todo momento un ambiente de tranquilidad, colaboración, información y trabajo conjunto.

Estos lineamientos son necesarios que sean conocidos por todo tipo de auditores (internos, segunda parte y certificación) ya que el documento UNE-EN ISO/IEC 19011 (en su versión traducida por UNE en España) contiene la descripción de todas las actividades necesarias y fundamentales para desarrollar con éxito un programa completo de auditoría. 

El auditor, ha de disponer por tanto una certificación personal de cumplimiento de estos lineamientos. Esto quiere decir que, nuevamente un tercero (entidad de certificación revisada por una entidad de acreditación o mediante el registro del auditor en registros de auditores internacionalmente reconocidos), certifica que posee las competencias profesionales y personales necesarias para desempeñar la labor de auditoría de la materia para la que está certificado.

IRCA (International Register of Certificated Auditors) es el mayor organismo mundial de certificación de auditores de sistemas de gestión. Tiene su sede en el Reino Unido y, por ello -debido al origen inglés de la norma BS 7799-2 y, por tanto, de ISO 27001-, tiene ya desde hace años un programa de certificación de auditores de sistemas de gestión de seguridad de la información.

Existen otras organizaciones internacionales de certificación de auditores (p.ej. Ejemplar Global Inc anteriormente RABQSA Internacional) con el objeto de facilitar la estandarización de requerimientos y garantizar un alto nivel de profesionalidad de los auditores, además de homologar a las instituciones que ofrecen cursos de formación de auditor.


Entidades de Certificación

Las entidades de certificación son organismos de evaluación de la conformidad, encargados de evaluar y realizar una declaración objetiva de que los servicios y productos cumplen unos requisitos específicos.
En el caso de ISO 27001, certifican, mediante la auditoría, que el SGSI de una organización se ha diseñado, implementado, verificado y mejorado conforme a lo detallado en la norma.

Existen numerosas entidades de certificación en cada país, ya que se trata de una actividad empresarial privada con un gran auge en el último par de décadas, debido a la creciente estandarización y homologación de productos y sistemas en todo el mundo. La organización que desee certificarse puede contactar a diversas entidades certificadoras y solicitar presupuesto por los servicios ofrecidos, comparando y decidiéndose por la más conveniente, como hace con cualquier otro producto o servicio.
Para que las entidades de certificación puedan emitir certificados reconocidos, han de estar acreditadas.

La acreditación de entidades de certificación para ISO 27001 solía hacerse en base al documento EA 7/03 "Directrices para la acreditación de organismos operando programas de certificación/registro de sistemas de gestión de seguridad en la información". La aparición de la norma ISO/IEC 27006 en conjunto con UNE-EN ISO/IEC 17021:2015 "Evaluación de la conformidad. Requisitos para los organismos que realizan la auditoría y la certificación de sistemas de gestión" ha supuesto la derogación del anterior documento.

Esto quiere decir que un tercero, llamado organismo de acreditación, comprueba, mediante evaluaciones independientes e imparciales, la competencia de las entidades de certificación y de los auditores que participan en la actividad objeto de la acreditación.

En cada país suele haber una sola entidad de acreditación (en algunos, hay más de una), a la que la Administración encarga esa tarea. En España, es ENAC (Entidad Nacional de Acreditación) aunque existe un listado completo para todos los países que cuentan con un reconocimiento mutuo ("certificado una vez, reconocido en todas partes").

Las entidades de acreditación establecen acuerdos internacionales para facilitar el reconocimiento mutuo de acreditaciones y el establecimiento de criterios comunes. Para ello, existen diversas asociaciones como IAF (International Accreditation Forum)EA (European co-operation for Accreditation) o The InterAmerican Accreditation Cooperation (IAAC), entre otras regiones del mundo.

FAQ

Es la norma que define el modelo completo de gestión de seguridad de la información según un ciclo de mejora continua. El resto de documentos de la serie se han desarrollado con ayuda para la implementación de requisitos del SGSI o como ayuda en general para la seguridad de la información en campos concretos, integración con otros marcos o adaptación a sectores industriales o de servicios específicos.

Se han popularizado las certificaciones en ISO 27017 o ISO 27018 aunque requieren en cualquier caso de la certificación conjunta de un SGSI en base a ISO 27001.

Una entidad de certificación acreditada, mediante una auditoría. Esta entidad establece el número de días y auditores necesarios, puede realizar una pre-auditoría (no obligatoria) y lleva a cabo una auditoría formal. Si el informe es favorable, la empresa recibirá la certificación.

Supone la oportunidad de recibir la confirmación por parte de un experto ajeno a la empresa de que se está gestionando correctamente la seguridad de la información.

Añade un factor de tensión y de concentración en un objetivo a todos los miembros del proyecto y de la organización en general, lo que redunda en beneficio de la implantación del sistema. Da una señal al mercado de que la empresa en cuestión es confiable y es gestionada transparentemente.

Es el requisito indispensable para acceder a la certificación y poder utilizar el sello de certificación junto al de la propia empresa.

Las malas prácticas que se han producido en la dirección de las empresas han activado las alarmas. Adicionalmente a los requisitos legales establecidos para auditorías financieras, gestión de riesgos, financiación, plan de desastres, continuidad de negocio, etc., crece el número de requisitos legales relacionados con la protección de los datos de carácter personal.

ISO27001 ayuda a considerar y adoptar los controles necesarios en los procesos de negocio y tratamiento de la información para satisfacer las demandas de la empresa, legales y de los clientes en materia de seguridad de la información.

No necesariamente. ISO27001 indica los controles a considerar para servicios de outsourcing desde el ámbito de su empresa (requisitos contractuales, niveles de servicio, obligaciones legales, auditoría, etc.). La seguridad de los sistemas de información que están fuera del ámbito es responsabilidad de la empresa externa, que debe cumplir regularmente con los compromisos contractuales exigidos por el cliente.

No existe un registro internacional de referencia con el nombre y alcance concreto de las organizaciones certificadas en ISO 27001 a nivel mundial.

El organismo ISO sí ofrece a inicios de año un informe "ISO Survey" que muestra la evolución de los Sistemas de Gestión relacionados con los estándares adoptados con mayor éxito y ofrece resultados por cantidad, país y evolución respecto a años anteriores, aunque no especifica los detalles particulares para cada una de las certificaciones.

Las certificaciones emitidas por entidades de certificación no acreditadas no tienen la garantía del reconocimiento internacional y no cuentan por tanto en ninguna de estas dos referencias. Tampoco se garantiza que sean efectivamente consideradas efectivamente en posibles contratos con la administración o entidades privadas de ahí la importancia que la supervisión de las entidades de certificación por otra entidad superior e independiente de acreditación.

Cada país tiene una entidad de acreditación (algunos, varias) que se encarga de supervisar que las entidades de certificación (las que, finalmente, auditan y certifican los sistemas de gestión de las empresas) están capacitadas para desempeñar su labor y se ajustan a los esquemas establecidos. En España, es ENAC (Entidad Nacional de Acreditación) quien tiene esta misión y existe como regla general una única entidad de acreditación por país (una contada excepción se localiza en Nueva Zelanda que comparte la misma entidad de acreditación con Australia).

También se da el caso de entidades certificadoras con actividades en un país determinado que expiden certificados bajo esquema de acreditación de una entidad de acreditación extranjera. En ISO 27001, se da frecuentemente el caso de entidades de certificación con oficinas en UK acreditadas desde un inicio con UKAS (entidad nacional de acreditación del Reino Unido) y que siguen gestionando internamente los expedientes y expedición de certificados desde UK, por carencias en la posibilidad de acreditación en ISO 27001 a nivel nacional dada su corta vida aún como ISO, por petición específica de sus clientes o temas de marketing o, incluso, por evitar múltiples tasas y auditorías de acreditación nacionales y mantener una única oficina centralizada para la tramitación de la documentación y emisión de certificados.

Como obligación legal existen países y sectores concretos (por ej. Sanitario) en los que se exige la certificación ISO 27001 a los proveedores de servicios vinculados.

Existen regulaciones recientes en España, como el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, en los que se establecen las condiciones necesarias para la confianza en el uso de los medios electrónicos y entre las que se encuentran la implantación de SGSIs.

También existen directrices y guías de la OCDE en este sentido pero es de esperar que más allá de la obligación regulatoria y para los casos de relación comercial, el cliente incorpore exigencias a sus proveedores relacionadas con la seguridad de los datos en las contrataciones y de forma similar a como ocurre con normas más veteranas como ISO 9001.

Ya existen de forma habitual administraciones públicas que están empezando a exigir certificados de este tipo a las empresas que quieran acceder a concursos públicos de productos o servicios relacionados con sistemas de información. Igualmente, es previsible que empresas privadas comiencen en algún momento a exigírselo a sus proveedores siempre que vaya a haber algún tipo actividad relacionada con información sensible, en particular en los casos en los que la empresa contratante ya disponga de una certificación ISO 27001.

El proceso de certificación puede resumirse en las siguientes fases:

• Solicitud por parte del interesado a la entidad de certificación y toma de datos por parte de la misma.

• Respuesta en forma de oferta por parte de la entidad certificadora.

• Compromiso.

• Designación de auditores, determinación de fechas y establecimiento conjunto del plan de auditoría.

• Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real.

• Fase 1 de la auditoría: revisión del alcance, política de seguridad, Dirección, análisis de riesgos, declaración de aplicabilidad y procedimientos clave.

• Fase 2 de la auditoría: revisión de las políticas, auditoría de la implantación de los controles de seguridad y verificación de la efectividad del sistema.

• Certificación: acciones correctivas en caso de no conformidades graves, revisión y emisión de certificado en caso de informe favorable.

• Auditoría de seguimiento: auditoría semestral o anual de mantenimiento.

• Auditoría de re-certificación: cada tres años, una auditoría de certificación formal completa.

© 2005 Aviso Legal - Términos de uso información iso27000.es