El proceso de certificación de la norma ISO 27001 consiste en la obtención de un certificado de cumplimiento con los requisitos de la norma emitida por una entidad de certificación independiente.

La norma bajo la que se obtiene el certificado es la norma UNE-EN ISO/IEC 27001. Las certificaciones emitidas por una Entidad de Certificación pueden ser o no acreditadas por una entidad de acreditación (en España la entidad nacional de acreditación es la ENAC). EN todo caso las entidades de acreditación deben pertenecer a la IAF (International Accreditation Forum).

La fase de certificación no es obligatoria pero tiene sin duda beneficios innegables a la hora de hacer valer la implantación de un SGSI ante nuestros clientes y partes interesadas

BENEFICIOS DE CERTIFICARSE

La obtención del certificado acarrea una serie de beneficios entre otros:

  • Es una ventaja competitiva ante otras empresas
  • Facilita el acceso a un mercado cada vez más competitivo que exige cada vez por mas empresas y organismos públicos un certificado de conformidad con la Seguridad de la Información a la hora de licitaciones y contratos
  • Mejora la imagen de la empresa
  • Mejora la confianza de clientes y usuarios de nuestros servicios en cuanto a la seguridad y protección de los datos
  • Nos garantiza una implantación efectiva de la norma al ser evaluados por una entidad con experiencia y que nos aportara consejos para mejorar el sistema

Auditoria de Certificación del SGSI

Después de la fase de implantación se realiza la auditoria de Certificación no antes de un periodo de al menos 3 meses durante el cual el sistema debe estar funcionando.

El proceso se inicia con la solicitud de certificación a una entidad certificadora quien después de formalizar el proceso mediante un contrato realizara la auditoria de certificación

La auditoría de certificación se realiza en dos fases:

Previamente al inicio de la auditoria el auditor debe enviar un plan de auditoria a la empresa.

Auditoria de Certificación ISO 27001 FASE1

Se trata de un proceso de análisis de la documentación del cual saldrá un informe sobre el cumplimiento con los requisitos de documentación básica y necesaria para el cumplimiento con los requisitos de la norma ISO 27001. En este informe se nos destacarán los posibles incumplimientos de la norma en cuanto a las necesidades de documentación y de requisitos normativos que se verificarán luego en la fase 2

Documentación obligatoria

En esta fase la tarea del auditor es revisar la documentación existente que compone el SGSI solicitando las evidencias de la documentación obligatoria requeridas por la norma ISO 27001.

En cuanto a los controles de seguridad el auditor utilizara la declaración de Aplicabilidad como guía.

La documentación de apoyo a la implementación de la norma y toda la documentación desarrollada para el sistema también será revisada-, por ejemplo:

  • Información sobre los controles de Seguridad
  • Diagrama de la red
  • Instrucciones técnicas
  • Políticas especificas
  • Procesos de Seguridad
  • Listado de documentación vigente
  • Etc.

Auditoria de Certificación ISO 27001 FASE2

En esta fase se revisa la implantación del sistema SGSI. Se trata de comprobar el cumplimiento de las políticas, la implantación de los controles de seguridad etc. El proceso termina con la emisión de un informe donde se nos determinara si existe alguna no conformidad o incumplimiento. La empresa dispondrá de un plazo para la subsanación de las No Conformidades mediante las acciones correctivas pertinentes.

La implantación de estas acciones correctivas será verificadas en siguientes auditorias.

Finalizado el proceso de auditoría de certificación se procede a la emisión del certificado el cual tendrá una validez de 3 años, siendo necesaria una auditoria de renovación para mantener la validez por otro periodo

Además de la auditoria de renovación cada 3 años, se debe realizar una auditoría de seguimiento normalmente anual para verificar que el SGSI se mantiene de acuerdo a los requisitos de la norma.

En esta auditoria normalmente se revisa una parte del sistema SGSI para dar mayor énfasis a temas que en una auditoria del sistema completo no ha podido revisarse en profundidad.

Evidencia
La evidencia consiste en la comprobación de que los documentos que integran el Sistema de Gestión de Seguridad de la Información se corresponden con la realidad

Entrevistas
La forma de comprobar la implantación de los procesos de seguridad documentado es verificando que los trabajadores conocen los documentos referentes a la seguridad de la información que tienen que ver son el desempeño de su actividad. Se trata de comprobar si la organización está desempeñando sus actividades integrando el sistema de Gestión de la Seguridad de la Información

Concienciación
La concienciación de los empleados es una cuestión relevante en un SGSI por lo que el auditor deslizara una serie de entrevistas a distintos trabajadores de forma que pueda comprobar los documentos que les aplican

Los documentos más importantes que suelen aplicar a todos los trabajadores son:

  • Política de seguridad de la información
  • Cláusulas de confidencialidad
  • Uso aceptable de los activos
  • Política de control de acceso

Como preparar una auditoria de Certificación ISO 27001

Auditoria Interna

Si la empresa está o no preparada para la certificación generalmente se determina a través de una auditoría interna, llevada a cabo por un miembro del personal designado como auditor interno calificado en ISO 27001 o buscando la asistencia de un auditor interno con experiencia de una consultoría ISO 27001 .

La norma ISO27001 aun siendo muy específica en sus requisitos, sigue la tónica de todas las normas ISO en cuanto a su lenguaje genérico y no determina como deben hacerse las cosas, por lo que puede ser difícil para los que no cuentan con suficiente experiencia, entiendan exactamente cómo deben aplicar los requisitos de la norma.

Es por eso que las empresas a menudo prefieren utilizar un tercero independiente para realizar la auditoría interna para garantizar la imparcialidad y como ayuda para preparar convenientemente la certificación

Un consultor experto brindara buenas ideas de cómo será la auditoría de certificación y será una valiosa ayuda para estar mejor preparados para la certificación

Un auditor externo completará la documentación de evaluación de riesgos, tomando nota de los controles implementados y los que falten, identificando las no conformidades y recomendando la corrección que debe implementar antes de la auditoría de certificación.

Seleccionar un auditor

Conviene tener criterios claros para elegir a nuestro auditor interno pues un buen auditor interno nos aportara sus conocimientos y será una garantía para estar bien preparados para la auditoría de certificación.

Si ha optado por la ruta de consultoría para ayudarlo a implementar ISO 27001, es importante asegurarse de que su proveedor estará a su disposición durante la auditoría de certificación en caso de que necesite ayuda

Revise el plan de auditoría.

Anticiparse al auditor revisando el plan de auditoria para discutir con el auditor aquellas cosas que echemos en falta o todo lo que consideremos inexacto. Se trata también de demostrar la proactividad de la empresa ante el auditor y aprovechar para establecer una primera relación con el auditor que a veces puede resultar muy útil.

Prepárate para tus entrevistas.

Las entrevistas que hemos mencionado pueden incluir normalmente a los responsables de los distintos departamentos para obtener la información de la integración de los controles de seguridad que les afectan y de su función dentro del SGSI

No debemos pasar por alto el prepararse para afrontar estas entrevistas, algo que no necesita de mucho esfuerzo. Los puntos clave son:

  • Enviar un correo electrónico a los empleados clave y responsables, recordando los aspectos fundamentales de la seguridad de la información que les atañe, es algo que no requiere de mucho tiempo o esfuerzo
  • Otra recomendación es recomendar a todos que den respuestas breves y concisas sin desviarse hacia otros temas que no están en sentido y discusión de las preguntas
  • Proporcione ejemplos prácticos sobre los tipos de evidencia solicitará el auditor.
  • Solicite con anticipación que los empleados tengan disponibles sus portátiles o lo que sea necesario para proporcionar lo más rápido posible las evidencias solicitadas