• (0)
    ISO-27001-ISO-22301-blog

    Blog de ISO 27001 e ISO 22301

    ¿Cómo obtener la certificación ISO 27001?


    Usted ya ha dedicado un período bastante considerable a la implementación de la ISO 27001, ha invertido bastante en capacitación, consultoría e implementación de diversos controles. Ahora llega el auditor de la entidad de certificación. ¿Aprobará la certificación?

    Esta ansiedad es normal, usted nunca puede saber si su SGSI (sistema de gestión de la seguridad de la información) tiene todo lo que la entidad certificadora solicita. Pero ¿qué es exactamente lo que busca el auditor?

    Primero, el auditor llevará a cabo la Fase 1 de auditoría, también denominada “Revisión de la documentación”. En esta auditoría, el auditor buscará la documentación sobre el alcance, la política y los objetivos del SGSI, la descripción de la metodología de evaluación de riesgos, el Informe sobre la evaluación de riesgos, la Declaración de aplicabilidad, el Plan de tratamiento del riesgo, los procedimientos para el control de documentos, las medidas correctivas y preventivas y la auditoría interna. Usted también deberá documentar algunos de los controles del Anexo A (sólo si los considera aplicables en la Declaración de aplicabilidad): inventario de activos (A.7.1.1), uso aceptable de activos (A.7.1.3), tareas y responsabilidades de los empleados, contratistas y terceros (A.8.1.1), términos generales de empleo (A.8.1.3), procedimientos para el funcionamiento de las instalaciones de procesamiento de la información (A.10.1.1), política de control de acceso (A.11.1.1) e identificación de la legislación aplicable (A.15.1.1). También necesitará registros de, al menos, una auditoría interna y una revisión por parte de la gerencia.

    Si falta alguno de estos elementos, significa que no está listo para la Fase 2 de auditoría. Obviamente que usted podría tener muchos más documentos si lo considera necesario, pero la lista anterior contiene los requerimientos mínimos.

    A la Fase 2 de auditoría también se la denomina “auditoría principal” y, generalmente, se realiza unas semanas después de la Fase 1. En esta auditoría el enfoque no va a ser sobre la documentación sino en si su organización realmente está haciendo lo que sus documentos y la ISO 27001 dicen que tiene que hacer. En otras palabras, el auditor verificará si su SGSI verdaderamente se ha materializado en su organización o si sólo se trata de letra muerta. El auditor lo verificará mediante la observación y entrevistas con sus empleados pero principalmente controlando sus registros. Entre los registros obligatorios se incluyen los de formación, capacitación, habilidades, experiencias y calificaciones (5.2.2), auditoría interna (6), revisión por parte de la gerencia (7.1) y medidas correctivas (8.2) y preventivas (8.3). Sin embargo, el auditor esperará ver muchos más registros como resultado de la realización de los procedimientos.

    Por favor, tenga cuidado sobre este punto; cualquier auditor experimentado se dará cuenta al instante si alguna parte de su SGSI es ficticio y confeccionado solamente para los fines de la auditoría.

    Perfecto, ya sabía todo esto. Pero aún sucede: el auditor encontró un incumplimiento grave y le informó que no se emitirá el certificado ISO 27001. ¿Es el fin del mundo?

    Por supuesto que no. El proceso es el siguiente: el auditor informará los resultados (incluyendo el incumplimiento grave) en el informe de auditoría y le dará un plazo en el cual deberá solucionar el incumplimiento (generalmente son 90 días). Su trabajo es tomar las medidas correctivas correspondientes, pero debe tener cuidado ya que esta acción debe solucionar el origen del incumplimiento; en caso contrario, el auditor podría no aceptar lo que se ha hecho. Una vez que esté seguro de haber tomado las medidas correctas, debe notificarle al auditor y enviarle la evidencia de lo que ha hecho. En la mayoría de los casos, si ha hecho su trabajo concienzudamente, el auditor aceptará su medida correctiva y activará el proceso de emisión del certificado.

    Ahora sí, demandó tiempo pero ahora usted es el orgulloso propietario del certificado ISO/IEC 27001. (Tenga cuidado, el certificado tiene una validez de tres años solamente, y puede ser suspendido durante dicho período si la entidad de certificación identifica algún otro incumplimiento grave en las visitas de control.)

    Para estar seguro de que se resuelven todas sus disconformidades y se toman las medidas correctivas, utilice el Software de cumplimiento de Conformio.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan tiene varias certificaciones, entre las que se incluyen la de Consultor certificado en gestión, Auditor principal para ISO 27001, Auditor principal para ISO 9001 y Profesional asociado en gestión de la continuidad del negocio. Dejan lidera nuestro equipo a través de la gestión de varios sitios web especializados que brindan apoyo a profesionales de TI y de ISO para comprender e implementar con éxito las principales normas internacionales. Dejan cuenta con un Máster de Gestión Empresarial (MBA) de Henley Management College y posee amplia experiencia en inversiones, seguros y bancos. Es conocido por su experiencia en normas internacionales para continuidad del negocio y seguridad de la información (ISO 22301 e ISO 27001) y por la creación de diversos tutoriales Web, paquetes de documentación y libros sobre los mismos temas.
    Etiquetas: #ISO 27001