La certificación ISO 27001 es el reconocimiento de que la organización ha implementado un Sistema de Gestión de Seguridad de la Información conforme con los requisitos del estándar, con la capacidad para tratar de forma proactiva los riesgos y para mejorar de forma continua.
Obtener la certificación ISO 27001 marca el final de una etapa en el ciclo de vida del sistema de gestión. También es el inicio de otra muy importante: la consolidación, la madurez y la mejora continua de la gestión.
Una certificación ISO 27001 es un logro importante para la organización. Se puede entender mejor la relevancia del objetivo alcanzado si se hace un recorrido por el camino que es preciso realizar para llegar a este punto. A él vamos a referirnos a continuación.
Qué es la certificación ISO 27001 y por qué es tan relevante
La certificación ISO 27001 para empresas es el documento que expide un organismo certificador, reconocido y avalado por ISO, que comprueba que un auditor ha evaluado el Sistema de Gestión de Seguridad de la Información y ha determinado que tiene la capacidad para cumplir con los objetivos propuestos y cumple con los requisitos exigidos por la norma.
Certificar el Sistema de Gestión de Seguridad de la Información demuestra a clientes, socios comerciales, reguladores, proveedores y otras posibles partes interesadas que la organización se toma muy en serio la seguridad, confidencialidad y privacidad de la información y no necesita hacer nada para probarlo más que exhibir su certificación ISO 27001.
La certificación protege la reputación de la organización, le permite acceder a negocios o licitaciones en los que la Gestión de Seguridad de la Información certificada es un requisito, mejora la percepción como empleador, garantiza el cumplimiento de reglamentos como RGPD y evita sanciones, entre otros beneficios que explican su importancia.
¿Cómo se obtiene la certificación ISO 27001?
La certificación es el resultado de un trabajo exigente que se realiza dentro de la organización. Por norma general, hay alguien que lidera el proyecto: el área de TI, el Departamento de SI cuando este existe o la Alta Dirección. Los pasos para llegar a la certificación ISO 27001 son:
1. Implementación del Sistema de Gestión
La implementación del Sistema de Gestión de Seguridad de la Información se divide en varias etapas:
- Planificación (aval de la Alta Dirección, conformación del equipo y recursos).
- Puesta en marcha (documentación, procesos y controles).
- Auditoría Interna.
- Acciones correctivas.
- Monitoreo y supervisión.
- Nueva auditoría interna.
- Nuevas acciones correctivas.
El ciclo PDCA, que es el que se aplica, se repite tantas veces como sea necesario, con el fin de obtener un SG-SI que tenga altas probabilidades de aprobar la auditoría de certificación ISO 27001.
2. Solicitar la auditoría de certificación ISO 27001
La auditoría de certificación o auditoría de terceros la realiza un organismo certificador avalado y reconocido por ISO. En cada país hay uno de ellos. En algunos otros hay tres o cinco.
Las auditorías de certificación suelen ser asignadas con espacio de tres a seis meses. Por eso es importante hacer la solicitud con tiempo suficiente. En los países en los que existen varias opciones de organismos certificadores, conviene evaluar y comparar precios, tiempo de espera y nivel de exigencia y rigurosidad, entre otros factores determinantes.
Adelántate a la auditoría de #CertificaciónISO27001 para tu organización con esta guía de pasos a seguir y preguntas que puede hacer el auditor Share on X3. Auditoría de certificación ISO 27001
Con el sistema auditado y subsanadas las no conformidades reportadas por el auditor interno, la organización está lista para recibir al auditor del organismo certificador. La auditoría de certificación se desarrolla en tres etapas:
a) Revisión de documentos
En esta primera etapa de la auditoria de terceros el auditor suele concentrarse en la documentación que exige el sistema. Básicamente el auditor exige:
- Documentación de alcance del sistema.
- Declaración de objetivos.
- Políticas.
- Documentación de proceso de evaluación y gestión de riesgos.
- Proceso de gestión de riesgos.
- Resultados de la evaluación de riesgos.
- Declaración de aplicabilidad de los controles del Anexo A de ISO 27001.
- Plan para tratar los riesgos.
- Procedimientos de control de documentos.
- Documentación de acciones correctivas y preventivas.
Hasta aquí, lo obligatorio. El auditor puede solicitar registros o actas de alguna auditoría interna, documentación de la implementación de controles del Anexo A o registros de una revisión.
b) Auditoria principal
Algunos auditores suelen avanzar en la auditoría de certificación algunos días o semanas después. Hay una razón para ello: el auditor tendrá tiempo para procesar la información que recopiló en la etapa documental y permitirá que el ambiente en la organización se relaje. Es también una forma de comprobar que el sistema en verdad opera y no se quedó solo en el papel.
Las actividades recurrentes en esta etapa son:
- Observación directa de procesos.
- Entrevistas a empleados.
- Comprobación de lo documentado con lo que ocurre en la realidad.
c) Informe de auditoría
Terminado el trabajo de campo, el auditor elabora el informe de auditoría dirigido a sus superiores en el organismo certificador y a la Alta Dirección. El contenido del informe sugiere el camino a seguir.
Es probable que el auditor formule alguna recomendación o tan solo señale una no conformidad. En este caso, se fijará un periodo de tiempo razonable para que se produzcan las correcciones necesarias. Pasado ese periodo, el auditor regresará a evaluar los temas que fueron objetados.
También cabe la posibilidad de que el auditor, desde el mismo informe, recomiende la emisión del certificado sin ningún requisito adicional.
4) Auditoría de vigilancia
Los certificados ISO tienen validez de tres años. Durante ese periodo de tiempo, el organismo certificador se reserva el derecho de realizar auditorías de vigilancia. Usualmente se hace una por año, siendo mucho más cortas y menos exigentes. Podrían ser no anunciadas.
Si todo va bien, lo que resta es la auditoria de recertificación que llega a los tres años. Es tan intensa y exigente como la auditoría de certificación ISO 27001.
¿Qué preguntas hace un auditor en la auditoría de certificación ISO 27001?
Los auditores hacen muchas preguntas durante las entrevistas que se desarrollan en el trabajo de campo posterior a la recolección de documentos. Es poco probable que un auditor omita solicitar un documento obligatorio. Además, podría solicitar un documento que crea es indispensable para el buen funcionamiento del sistema. Declaración de aplicabilidad de un control o de no aplicabilidad de otro, informe sobre programas de capacitación y formación o diagramas de flujos de trabajo son algunos de ellos.
Los auditores también pueden solicitar evidencia de que algo que está sobre el papel se cumple, del funcionamiento de un control o del cumplimiento de algún requisito legal o regulatorio.
Finalmente, están las entrevistas. En ellas, el auditor verifica que las personas saben lo que están haciendo y que la cultura de Seguridad de la Información está más allá del papel. En estas entrevistas, algunas preguntas típicas son:
- ¿Qué instrucciones ha recibido sobre protección de la información?
- ¿Conoce las políticas de la organización sobre Seguridad de la Información?
- ¿Sabe quién es la persona o personas encargadas de la Seguridad de la Información en la organización?
- ¿Ha sido indagado acerca de su conocimiento sobre Seguridad de la Información?
- ¿Sabe qué es una infracción de Seguridad de la Información?
- ¿Ha asistido a charlas, foros o conferencias sobre Seguridad de la Información o sobre el Sistema de Gestión?
Diplomado de Seguridad de la Información ISO/IEC 27001
El Diplomado de Seguridad de la Información ISO/IEC 27001 es un completo programa de formación online, bajo la modalidad e-learning. Capacita para implementar Sistemas de Gestión de Seguridad de la Información y enfrentar los retos de la organización en este aspecto.
El programa permite a los alumnos acceder a un campus virtual en el que encontrarán todos los contenidos de estudio, clases, vídeos, evaluaciones, foros y la posibilidad de interactuar con docentes de alto reconocimiento internacional.
El Diplomado entrega certificación como experto en Seguridad de la Información, pero también como auditor interno de estos Sistemas de Gestión. Además, los alumnos que deseen trabajar en otros países de Europa o de América Latina pueden aplicar para obtener el certificado ERCA. Tú puedes ser uno de ellos.
Nuestra recomendación es que descubras si puedes calificar para una beca o, si lo prefieres, puedes inscribirte aquí.