Seguridad de la información es un elemento estratégico para las empresas

¿Cómo saber si mi certificación ISO/IEC 27001 es legítima?

Debido al crecimiento en la popularidad y adopción de ISO/IEC 27001 como el estándar de facto en materia de seguridad de la información, pueden surgir dudas sobre cómo validar la legitimidad y vigencia de un certificado.

 

Antes que nada vale la pena hacer una pequeña aclaración. Si bien en el mercado se le llana ISO 27000 o a veces ISO 27001, es importante señalar que la forma correcta es ISO/IEC 27001 y su nombre es Sistema de Gestión de Seguridad de la Información – Requisitos, siendo la 2013 su versión vigente.

 

La norma ISO 27000, propiamente ISO/IEC 27000 es la referente al vocabulario y en muchas ocasiones nos referimos a toda la familia de normas como 27000, considerando que además de las dos ya mencionadas existen muchas más con lineamientos, guías de implementación, métricas, aplicaciones sectoriales, lineamientos de auditoría, competencia del personal, etc. que forman parte de esta amplia familia.

 

Por otro lado, el prefijo ISO/IEC se refiere a que hay dos organismos de normalización involucrados en su creación: por un lado la International Organization for Standardization, ISO, y la International Organization for Standardization, IEC, dedicado a la estandarización en temas de alta tecnología.

 

Las certificaciones en esta materia adquieren validez internacional gracias a distintos acuerdos internacionales establecidos entre organismos de certificación y órganos de acreditación, cuya trazabilidad podemos iniciar en la misma página de ISO:

 

La certificación tiene un reconocimiento internacional gracias al esquema de acreditación establecido por el comité de evaluación de la conformidad de ISO: CASCO, de acuerdo con sus iniciales.

 

Citando el texto extraído de la página de certificación de ISO http://www.iso.org/iso/home/standards/certification.htm:

 

Choosing a certification body

When choosing a certification body, you should:

  • Evaluate several certification bodies.
  • Check if the certification body uses the relevant CASCO standard (en este caso ISO/IEC 17021-1 para Certificación de Sistemas de Gestión)
  • To find an accredited certification body, contact the national accreditation body in your country or visit the International Accreditation Forum.

 

Presencia internacional en beneficio de las empresas
Presencia internacional en beneficio de las empresas

 

El International Accreditation Forum agrupa a todos los acreditadores del mundo que establecen acuerdos de reconocimiento multilateral.

 

Un ejemplo es la Entidad Mexicana de Acreditación (ema): al ser el ente mexicano firmante del International Accreditation Forum, IAF, y éste a su vez ser el órgano que, de acuerdo con ISO, da reconocimiento internacional a las certificaciones, a través del Multilateral Recognition Agreement, MLA, (del cual México es firmante con el alcance principal de “Sistemas de gestión y certificación de producto” y del sub alcance para “Sistemas de Gestión de Seguridad de la Información” http://www.iaf.nu/articles/IAF_MEM_Mexico/91); acredita las certificaciones realizadas bajo la norma ISO/IEC 17021-1 para sistemas de gestión y en particular el ISO/IEC 27001 para SGSI.

 

En este sentido la IAF establece con respecto de las certificaciones emitidas bajo el alcance principal del MLA:

 

“A main scope means certificates are ‘equally reliable’ because the conformity assessment bodies conform to the same standard”.

 

Es decir, que la certificación de la que hablamos es “igualmente confiable” para todos los sistemas de gestión antes mencionados. Para los sistemas de gestión basados en las normas ISO 9001, ISO/IEC 27001 e ISO 14001, la IAF cuenta con un sub-alcance específico, el cual establece para las certificaciones emitidas bajo la acreditación de un firmante del sub alcance del Multilateral Recognition Agreement:

 

“A sub-scope means the certificates are ‘equivalent’ because the management systems, products, services or persons conform to the same standard.”

 

En otras palabras, que las certificaciones emitidas bajo el sub alcance del MLA para estas normas son “equivalentes” pues son evaluadas bajo los mismos estándares, lo cual brinda un mayor reconocimiento internacional a la certificación. http://www.iaf.nu/articles/Scopes/16 .

 

Por esto, la certificación otorgada bajo el amparo de la acreditación de la ema o cualquiera de los demás firmantes del MLA de la IAF, cumple con los requisitos para el reconocimiento internacional, apelando a su slogan de “Certificado una vez, válido en cualquier lado”.

 

Una vez identificado que el ente de acreditación cuenta con el alcance y sub-alcance para acreditar el esquema de Sistema de Gestión de Seguridad de la Información basado en la norma ISO/IEC 27001, podemos consultar con ese organismo de acreditación la lista de los organismos de certificación acreditados, de forma que los certificados emitidos por éstos tendrán la validez internacional antes señalada.

 

En resumen:

  • Dentro de un certificado encontrarás los siguientes datos:
  • Nombre de Ente Acreditador (Firmante de la IAF)
  • Nombre del organismo Certificador (Acreditados por el Ente Acreditador)
  • Número de certificado
  • Fecha de emisión
  • Fecha de vencimiento
  • Alcance

 

  • Revisar en la página de la IAF que el ente acreditador sea un firmante del MLA y en particular que cuente con el sub-alcance para Sistemas de Gestión de Seguridad de la Información, basados en ISO/IEC 27001.

 

  • Validar en el sitio del ente acreditador que el organismo de certificación se encuentra acreditado para certificar Sistemas de Gestión de Seguridad de la Información, basados en ISO/IEC 27001.

 

  • Validar con el organismo de certificación que el certificado es válido y que no se encuentra suspendido o cancelado por algún incumplimiento por parte de la organización certificada

 

Para que un certificado se mantenga válido es necesario que se reciba una auditoría de vigilancia por lo menos una vez al año, con el objetivo de garantizar que los elementos que exige la norma, los requisitos de la regulación aplicable y los criterios establecidos por la propia organización, continúan siendo cumplidos y se han atendido los incidentes y las desviaciones detectadas.

 

Por último, es importante mencionar que los certificados tienen un “alcance” que se refiere a la cobertura que tiene el sistema de gestión de seguridad de la información con respecto de los productos, servicios, procesos, áreas operativas, cobertura geográfica y hasta el nombre o tipo de clientes que fueron evaluados durante las auditorías de certificación y vigilancia.

 

En el caso de los Sistemas de Gestión de Seguridad de la información, la redacción del alcance de la certificación incluirá una referencia a una Declaración de Aplicabilidad, que no es otra cosa que un documento que incluye los controles de seguridad que han sido implementados por la organización y, en su caso, la justificación aceptada por el organismo de certificación de que algún control no aplica al contexto de la organización porque no se llevan a cabo las actividades que dar origen a dicho control.

 

Es importante validar que el alcance de la certificación abarca los servicios principales que ofrece la organización en cuestión, de forma que esto brinde la certidumbre necesaria a sus clientes de que los servicios que se le ofrecen están cubiertos por este certificado, así como validar los controles implementados y asegurarnos que no fueron excluidos otros que también pudieran ser relevantes para el tipo de operación que la organización lleva acabo.

 

Artículo de nuestro colaborador:

Pablo CORONA FRAGA

Pablo corona Director adjunto de NYCE Sociedad Internacional de Gestión y Evaluación 

Datos de contacto, aquí.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *