The ISO 27001 & ISO 22301 Blog

Dejan Kosutic

¿Cómo obtener la certificación ISO 27001?

Usted ya ha dedicado un período bastante considerable a la implementación de la ISO 27001, ha invertido bastante en capacitación, consultoría e implementación de diversos controles. Ahora llega el auditor de la entidad de certificación. ¿Aprobará la certificación?

Esta ansiedad es normal, usted nunca puede saber si su SGSI (sistema de gestión de la seguridad de la información) tiene todo lo que la entidad certificadora solicita. Pero ¿qué es exactamente lo que busca el auditor?

Primero, el auditor llevará a cabo la Fase 1 de auditoría, también denominada “Revisión de la documentación”. En esta auditoría, el auditor buscará la documentación sobre el alcance, la política y los objetivos del SGSI, la descripción de la metodología de evaluación de riesgos, el Informe sobre la evaluación de riesgos, la Declaración de aplicabilidad, el Plan de tratamiento del riesgo, los procedimientos para el control de documentos, las medidas correctivas y preventivas y la auditoría interna. Usted también deberá documentar algunos de los controles del Anexo A (sólo si los considera aplicables en la Declaración de aplicabilidad): inventario de activos (A.7.1.1), uso aceptable de activos (A.7.1.3), tareas y responsabilidades de los empleados, contratistas y terceros (A.8.1.1), términos generales de empleo (A.8.1.3), procedimientos para el funcionamiento de las instalaciones de procesamiento de la información (A.10.1.1), política de control de acceso (A.11.1.1) e identificación de la legislación aplicable (A.15.1.1). También necesitará registros de, al menos, una auditoría interna y una revisión por parte de la gerencia.

Si falta alguno de estos elementos, significa que no está listo para la Fase 2 de auditoría. Obviamente que usted podría tener muchos más documentos si lo considera necesario, pero la lista anterior contiene los requerimientos mínimos.

A la Fase 2 de auditoría también se la denomina “auditoría principal” y, generalmente, se realiza unas semanas después de la Fase 1. En esta auditoría el enfoque no va a ser sobre la documentación sino en si su organización realmente está haciendo lo que sus documentos y la ISO 27001 dicen que tiene que hacer. En otras palabras, el auditor verificará si su SGSI verdaderamente se ha materializado en su organización o si sólo se trata de letra muerta. El auditor lo verificará mediante la observación y entrevistas con sus empleados pero principalmente controlando sus registros. Entre los registros obligatorios se incluyen los de formación, capacitación, habilidades, experiencias y calificaciones (5.2.2), auditoría interna (6), revisión por parte de la gerencia (7.1) y medidas correctivas (8.2) y preventivas (8.3). Sin embargo, el auditor esperará ver muchos más registros como resultado de la realización de los procedimientos.

Por favor, tenga cuidado sobre este punto; cualquier auditor experimentado se dará cuenta al instante si alguna parte de su SGSI es ficticio y confeccionado solamente para los fines de la auditoría.

Perfecto, ya sabía todo esto. Pero aún sucede: el auditor encontró un incumplimiento grave y le informó que no se emitirá el certificado ISO 27001. ¿Es el fin del mundo?

Por supuesto que no. El proceso es el siguiente: el auditor informará los resultados (incluyendo el incumplimiento grave) en el informe de auditoría y le dará un plazo en el cual deberá solucionar el incumplimiento (generalmente son 90 días). Su trabajo es tomar las medidas correctivas correspondientes, pero debe tener cuidado ya que esta acción debe solucionar el origen del incumplimiento; en caso contrario, el auditor podría no aceptar lo que se ha hecho. Una vez que esté seguro de haber tomado las medidas correctas, debe notificarle al auditor y enviarle la evidencia de lo que ha hecho. En la mayoría de los casos, si ha hecho su trabajo concienzudamente, el auditor aceptará su medida correctiva y activará el proceso de emisión del certificado.

Ahora sí, demandó tiempo pero ahora usted es el orgulloso propietario del certificado ISO/IEC 27001. (Tenga cuidado, el certificado tiene una validez de tres años solamente, y puede ser suspendido durante dicho período si la entidad de certificación identifica algún otro incumplimiento grave en las visitas de control.)

Para estar seguro de que se resuelven todas sus disconformidades y se toman las medidas correctivas, utilice el Software de cumplimiento de Conformio.

Si le gustó este artículo, suscríbase para recibir actualizaciones.

Amplíe su conocimiento con nuestros recursos gratuitos sobre las normas ISO 27001 / ISO 22301.

Puede darse de baja en cualquier momento.

Consulte este Aviso de Privacidad para obtener más información sobre qué datos personales recopilamos, por qué los necesitamos, qué hacemos con ellos, durante cuánto tiempo los guardamos y cuáles son sus derechos.

NUESTROS CLIENTES

NUESTROS SOCIOS

  • Advisera is Exemplar Global Certified TPECS Provider for the IS, QM, EM, TL and AU Competency Units.
  • ITIL® is a registered trade mark of AXELOS Limited. Used under licence of AXELOS Limited. All rights reserved.
  • DNV GL Business Assurance is one of the leading providers of accredited management systems certification.