CERTIFICACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

CERTIFICACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable. Esto quiere decir que la organización que tenga implantado un SGSI puede solicitar una auditoría a una entidad certificadora acreditada y, caso de superar la misma con éxito, obtener una certificación del sistema según ISO 27001.

Una vez implantado el SGSI en la organización, y con un historial demostrable de al menos 3 meses, se puede pasar a la fase de auditoría y certificación, que se desarrolla de la siguiente forma:
• Solicitud de la auditoría por parte del interesado a la entidad de certificación y toma de datos por parte de la misma.
• Respuesta en forma de oferta por parte de la entidad certificadora.
• Compromiso.
• Designación de auditores, determinación de fechas y establecimiento conjunto del plan de auditoría.
•Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real.
• Fase 1 de la auditoría: no necesariamente tiene que ser in situ, puesto que se trata del análisis de la documentación por parte del Auditor Jefe y la preparación del informe de la documentación básica del SGSI del cliente, destacando los posibles incumplimientos de la norma que se verificarán en la Fase 2. Este informe se envía junto al plan de auditoría al cliente. El periodo máximo entre la Fase 1 y Fase 2 es de 6 meses.
• Fase 2 de la auditoría: es la fase de detalle de la auditoría, en la que se revisan in situ las políticas, la implantación de los controles de seguridad y la eficacia del sistema en su conjunto. Se inicia con una reunión de apertura donde se revisa el objeto, alcance, el proceso, el personal, instalaciones y recursos necesarios, así como posibles cambios de última hora. Se realiza una revisión de las exclusiones según la Declaración de Aplicabilidad (documento SOA), de los hallazgos de la Fase 1, de la implantación de políticas, procedimientos y controles y de todos aquellos puntos que el auditor considere de interés. Finaliza con una reunión de cierre en la que se presenta el informe de auditoría.
• Certificación: en el caso de que se descubran durante la auditoría no conformidades graves, la organización deberá implantar acciones correctivas; una vez verificada dicha implantación o, directamente, en el caso de no haberse presentado no conformidades, el auditor podrá emitir un informe favorable y el SGSI de organización será certificado según ISO 27001.
• Auditoría de seguimiento: semestral o, al menos, anualmente, debe realizarse una auditoría de mantenimiento; esta auditoría se centra, generalmente, en partes del sistema, dada su menor duración, y tiene como objetivo comprobar el uso del SGSI y fomentar y verificar la mejora continua.
• Auditoría de re-certificación: cada tres años, es necesario superar una auditoría de certificación formal completa como la descrita.

Las organizaciones certificadas a nivel mundial en ISO 27001 (o, anteriormente, en BS 7799-2) por entidades acreditadas figuran listadas en http://www.iso27001certificates.com. Para aquellas organizaciones que lo han autorizado, también está publicado el alcance de certificación.
Naturalmente, la organización que implanta un SGSI no tiene la obligación de certificarlo. Sin embargo, sí es recomendable ponerse como objetivo la certificación, porque supone la oportunidad de recibir la confirmación por parte de un experto ajeno a la empresa de que se está gestionando correctamente la seguridad de la información, añade un factor de tensión y de concentración en una meta a todos los miembros del proyecto y de la organización en general y envía una señal al mercado de que la empresa en cuestión es confiable y es gestionada transparentemente.
La entidad de certificación
Las entidades de certificación son organismos de evaluación de la conformidad, encargados de evaluar y realizar una declaración objetiva de que los servicios y productos cumplen unos requisitos específicos. En el caso de ISO 27001, certifican, mediante la auditoría, que el SGSI de una organización se ha diseñado, implementado, verificado y mejorado conforme a lo detallado en la norma.
Existen numerosas entidades de certificación en cada país, ya que se trata de una actividad empresarial privada con un gran auge en el último par de décadas, debido a la creciente estandarización y homologación de productos y sistemas en todo el mundo. La organización que desee certificarse puede contactar a diversas entidades certificadoras y solicitar presupuesto por los servicios ofrecidos, comparando y decidiéndose por la más conveniente, como hace con cualquier otro producto o servicio.
Para que las entidades de certificación puedan emitir certificados reconocidos, han de estar acreditadas. Esto quiere decir que un tercero, llamado organismo de acreditación, comprueba, mediante evaluaciones independientes e imparciales, la competencia de las entidades de certificación para la actividad objeto de acreditación. En cada país suele haber una sola entidad de acreditación (en algunos, hay más de una), a la que la Administración encarga esa tarea. En España, es ENAC (Entidad Nacional de Acreditación); para otros países, puede consultarse una lista.
La acreditación de entidades de certificación para ISO 27001 o para BS 7799-2 -antes de derogarse- suele hacerse en base al documento EA 7/03 «Directrices para la acreditación de organismos operando programas de certificación/registro de sistemas de gestión de seguridad en la información». En el futuro, será la norma ISO 27006 la que regule directamente estas cuestiones.
Las entidades de acreditación establecen acuerdos internacionales para facilitar el reconocimiento mutuo de acreditaciones y el establecimiento de criterios comunes. Para ello, existen diversas asociaciones como IAF (International Accreditation Forum) o EA (European co-operation for Accreditation).
El auditor
El auditor es la persona que comprueba que el SGSI de una organización se ha diseñado, implementado, verificado y mejorado conforme a lo detallado en la norma. En general, se distinguen tres clases de auditores:
• de primera parte: auditor interno que audita la organización en nombre de sí misma, normalmente, como mantenimiento del sistema de gestión y como preparación a la auditoría de certificación;
• de segunda parte: auditor de cliente, es decir, que audita una organización en nombre de un cliente de la misma; por ejemplo, una empresa que audita a su proveedor de outsourcing;
• de tercera parte: auditor independiente, que audita una organización como tercera parte imparcial; normalmente, porque la organización tiene la intención de lograr la certificación y contrata para ello los servicios de una entidad de certificación.
El auditor, sobre todo si actúa como de tercera parte, ha de disponer también de una certificación personal. Esto quiere decir que, nuevamente un tercero, certifica que posee las competencias profesionales y personales necesarias para desempeñar la labor de auditoría de la materia para la que está certificado.
En este punto, hay pequeñas diferencias entre las entidades certificadoras, que pueden formular requisitos distintos para homologar a sus auditores. Pero, en general, la certificación de auditores se ciñe a la norma ISO 19011 de directrices para la auditoría de sistemas de gestión, que dedica su punto 7 a la competencia y evaluación de los auditores. Al auditor se le exigen una serie de atributos personales, conocimientos y habilidades, educación formal, experiencia laboral y formación como auditor.
Existen diversas organizaciones internacionales de certificación de auditores, con el objeto de facilitar la estandarización de requerimientos y garantizar un alto nivel de profesionalidad de los auditores, además de homologar a las instituciones que ofrecen cursos de formación de auditor. Algunas de estas organizaciones son IRCA, RABQSA o IATCA.
IRCA (International Register of Certificated Auditors) es el mayor organismo mundial de certificación de auditores de sistemas de gestión. Tiene su sede en el Reino Unido y, por ello -debido al origen inglés de la norma BS 7799-2 y, por tanto, de ISO 27001-, tiene ya desde hace años un programa de certificación de auditores de sistemas de gestión de seguridad de la información. Su página web, también en español, es una buena fuente de consulta de los requisitos y los grados de auditor. Dispone de un enlace directo a las últimas novedades del IRCA desde nuestra sección de boletines.
En cuanto a la práctica de la auditoría, al auditor se le exige que se muestre ético, con mentalidad abierta, diplomático, observador, perceptivo, versátil, tenaz, decidido y seguro de sí mismo. Estas actitudes son las que deberían crear un clima de confianza y colaboración entre auditor y auditado. El auditado debe tomar el proceso de auditoría siempre desde un punto de vista constructivo y de mejora continua, y no de fiscalización de sus actividades. Para ello, el auditor debe fomentar en todo momento un ambiente de tranquilidad, colaboración, información y trabajo conjunto.