Proceso de Certificación
Al finalizar la implantación del Sistema de Gestión de Seguridad de la Información tenemos la opción de certificarlo, es decir, obtener un documento a través de un tercero de confianza que verifica su correcta implantación.
Con ello certificamos la gestión del sistema pero no las medidas implantadas o la seguridad de la empresa. Lo que certifica es que la empresa gestiona adecuadamente la seguridad.
Las empresas certifican sus sistemas, entre otras razones, para mejorar su imagen, porque sus clientes lo demanda o porque creen que es bueno para su gestión interna.
Para poder certificarlo, nuestro Sistema de Gestión de Seguridad de la información tiene que estar basado en la norma UNE-ISO/IEC 27001. Además, debe estar implantado y funcionando y tienen que existir evidencias que lo demuestren. Así mismo, tiene que contar con recursos económicos y personal de la empresa para atender a las demandas de la entidad de certificación.
En el momento de contratar a una entidad de certificación, debemos asegurarnos de que cuenta con auditores cualificados para verificar la correcta implantación del sistema según la norma UNE-ISO/IEC 27001.
Además, deberemos comprobar que posee la adecuada acreditación que la reconoce como una entidad competente para la realización de esa actividad. La entidad de certificación debe estar acreditada para la norma en la que se desea realizar la certificación, asegurando así que cumple con los requisitos para realizar correctamente su trabajo.
La entidad de acreditación española es ENAC, aunque existen numerosas entidades de acreditación en todo el mundo. Las empresas certificadoras podrían estar acreditadas por una entidad que no fuese la española. En este caso sería necesario que la entidad de acreditación validase las actividades también en el territorio español, indicándolo específicamente en sus credenciales.
El proceso de certificación puede variar ligeramente dependiendo de la entidad de certificación que lleve a cabo el proceso, sin embargo hay una serie de etapas comunes para todas ellas:
- Comenzaremos gestionando la solicitud de certificación: La empresa debe solicitar una oferta a la entidad de certificación en la que se especificarán una serie de datos sobre la organización e Implantación de un SGSI en la empresa la implantación del SGSI, tales como el alcance, el número de empleados y los centros de trabajo dentro del alcance, etcétera. Con ello se calcula el precio y el número de días de duración de la auditoría así como el número de auditores que la llevarán a cabo.
- A continuación tiene lugar la auditoría documental, que es la primera fase de la auditoría: En ella se revisa la documentación generada durante la implantación del sistema y que incluirá, al menos, la política de seguridad, el alcance de la certificación, el análisis de riesgos, la selección de los controles de acuerdo con la declaración de aplicabilidad (SOA) y la revisión de la documentación de los controles seleccionados por la entidad de certificación.
- La segunda fase de la auditoría es la auditoría in-situ: Tiene lugar en la empresa, a la que se desplazan los auditores para verificar la documentación revisada en la fase anterior así como los registros del sistema. Durante esta fase los auditores confirman que la organización cumple con sus políticas y procedimientos, comprueban que el sistema desarrollado está conforme con las especificaciones de la norma y verifican que está logrando los objetivos que la organización se ha marcado.
Después de cada una de las fases de la auditoría la entidad de certificación emite un informe en el que se indican los resultados de la misma. En estos informes pueden aparecer los siguientes resultados:
- Uno. Todo correcto.
- Dos. Observaciones sobre el sistema que no tienen excesiva relevancia pero que deben ser tenidas en cuenta en la siguiente fase de la auditoría, bien para ser revisadas in-situ o bien para ser mejoradas en el siguiente ciclo de mejora.
- Tres. No conformidades menores. Estas son incidencias encontradas en la implantación subsanables mediante la presentación de un Plan de Acciones Correctivas en el que se identifica la incidencia y la manera de solucionarla.
- Cuatro. No conformidades mayores que deben ser subsanadas por la empresa. Sin su
- resolución y, en la mayor parte de los casos, la realización de una auditoría extraordinaria por parte de la entidad de certificación, no se obtendría el certificado ya que se trata de incumplimientos graves de la norma En caso de darse tras la auditoría documental es necesario su resolución antes de llevar a cabo la auditoría in-situ.
Una vez conseguido el certificado del sistema, éste tiene una validez de tres años, aunque está sujeto a revisiones anuales.
Durante el primer año se realiza la auditoría inicial. Posteriormente cada tres años se realiza una Implantación de un SGSI en la empresa auditoría de renovación. En los dos años posteriores tanto a la auditoría inicial como a las de renovación se realizarán auditorías de seguimiento.