Implementar un Sistema de Gestión de Seguridad de la Información es una cosa. Obtener una certificación ISO 27001 acreditada, es otra, y otra muy diferente es obtener una certificación no acreditada.
Se trata de tres estados diferentes de un mismo proceso, pero que, en la práctica, presentan notables diferencias. ¿Qué diferencia la certificación ISO acreditada de las otras dos opciones? Lo analizamos a continuación.
Certificación ISO 27001 acreditada vs no acreditada
La organización internacional de normalización ISO produce y actualiza multitud de normas cada año, que abordan un abanico completo de temas y disciplinas relacionadas con las áreas de gestión de organizaciones privadas y públicas. Un cierto grupo de estos estándares, conocidos como Estándares de Sistemas de Gestión, entre los que se incluye por supuesto ISO 27001, han sido diseñados para ayudar a las organizaciones a entregar productos seguros, respetuosos con el medio ambiente o de calidad consistente, entre otros muchos propósitos.
La certificación ISO 27001 acreditada es una de las vías para demostrar la conformidad con los requisitos del estándar. Pero no es la única. Algunas organizaciones optan simplemente por alcanzar el cumplimiento, sin elegir ninguna de las dos opciones a las que hacemos referencia hoy – Certificación ISO 27001 acreditada y no acreditada -.
El cumplimiento
Cualquier organización puede optar por implementar un Sistema de Gestión de la Seguridad de la Información basado en la norma ISO 27001. Es posible cumplir con los requisitos de la norma incluyendo la auditoría interna como parte del cumplimiento. Para estas organizaciones, no existen requisitos obligatorios, pues no tendrán que someterse a una auditoría externa.
En la práctica, cualquier organización puede implementar el estándar y afirmar que cumple. Los clientes y las partes interesadas pueden simplemente solicitar que se cumpla con algunos de los requisitos de ISO 27001. Sin embargo, en otros casos, clientes, proveedores o partes interesadas pueden solicitar evidencia del cumplimiento, para lo cual pueden requerir auditar a la organización.
Para organizaciones con muchos clientes y terceros, esto ciertamente podría representar una carga difícil de manejar. Esto implica tiempo, recursos internos y, a menudo capital para entregar evidencia una y otra vez. De forma que, para esas organizaciones, certificar su SGSI es una opción óptima.
Certificación
Para que se pueda considerar a una organización como certificada en ISO 27001, esta debe pasar por el proceso completo que comprende: evaluar sus procesos, documentar sus procedimientos y presentarlos a un organismo independiente acreditado por ISO para su certificación. El proceso, una vez implementado el SGSI y auditado al interior de la organización, puede tardar entre dos y cuatro meses. El proceso de certificación parece simple, pero en el camino pueden aparecer escollos como no conformidades identificadas por el auditor externo, que obliga a implementar acciones correctivas y solicitar una nueva auditoría de certificación.
Sin embargo, una vez que se obtiene la certificación, su validez se extiende por un periodo de 3 años, por lo que, frente a clientes y otras partes interesadas se puede evidenciar fácilmente el cumplimiento de estrictos niveles de seguridad de la información.
¿Certificación #ISO27001 acreditada o no acreditada? Analizamos qué implica cada una de las opciones y por qué es importante. No te pierdas este artículo de Escuela Europea de Excelencia #SGSI Clic para tuitearCertificación ISO 27001 acreditada vs no acreditada
En principio, el proceso de implementación de los sistemas es el mismo. La diferencia la hace el organismo que certifica y cómo lo hace. En general, tanto la acreditación como la certificación son reconocidas a nivel mundial.
Los organismos de certificación deben obtener una licencia para realizar auditorías externas de certificación y emitir certificaciones. Por lo tanto, los organismos certificadores aseguran sus licencias a través de la acreditación. Pero las organizaciones que implementan un SGSI sólo necesitan la certificación. Usualmente, solo hay un organismo de acreditación por país.
La certificación ISO y la acreditación ISO a menudo se usan indistintamente. En algunos casos, incluso van de la mano. La acreditación ISO se otorga a las organizaciones para ciertas actividades, mientras que la certificación ISO cubre a la organización en su conjunto.
Aunque es habitual que pueda haber confusión entre estos dos procesos, su diferencia se explica fácilmente: la certificación representa una garantía por escrito de un tercero de la conformidad de un producto, proceso o servicio con los requisitos de un estándar, en este caso, ISO 27001.
La acreditación, por otra parte, es el reconocimiento formal por parte de un organismo autorizado, de la competencia para trabajar según estándares específicos. Es la capacidad de demostrar competencia técnica, lo que coloca la certificación ISO 27001 acreditada en un nivel superior a la certificación no acreditada.
Diplomado de Seguridad de la Información con la ISO/IEC 27001:2013
Sea que su organización decida tan solo alcanzar el cumplimiento con ISO 27001, u obtener una certificación ISO 27001, o una acreditación, necesita contar con personas que tengan un profundo conocimiento de los requisitos de la norma, la forma de implementarla y sobre la realización de auditorías internas del sistema.
Estos son los conocimientos y las competencias que adquieren los alumnos del Diplomado de Seguridad de la Información con la ISO/IEC 27001:2013. El año 2020 inicia con una nueva convocatoria para este programa de excelencia. Sólo tiene que inscribirse aquí para asegurar una plaza.
