Certificacin Cualquier organizacin que tenga implantado un SGSI puede solicitar una auditora a una entidad certificadora acreditada

y, caso de superar la misma con xito, obtener una certificacin del sistema segn ISO 27001. Implantacin del SGSI Evidentemente, el paso previo a intentar la certificacin es la implantacin en la organizacin del sistema de gestin de seguridad de la informacin segn ISO 27001. Este sistema deber tener un historial de funcionamiento demostrable de al menos tres meses antes de solicitar el proceso formal de auditora para su primera certificacin. ISO 27001 exige que el SGSI contemple los siguientes puntos: Implicacin de la Direccin. Alcance del SGSI y poltica de seguridad. Inventario de todos los activos de informacin. Metodologa de evaluacin del riesgo. Identificacin de amenazas, vulnerabilidades e impactos. Anlisis y evaluacin de riesgos. Seleccin de controles para el tratamiento de riesgos. Aprobacin por parte de la direccin del riesgo residual. Declaracin de aplicabilidad. Plan de tratamiento de riesgos. Implementacin de controles, documentacin de polticas, procedimientos e instrucciones de trabajo. Definicin de un mtodo de medida de la eficacia de los controles y puesta en marcha del mismo. Formacin y concienciacin en lo relativo a seguridad de la informacin a todo el personal. Monitorizacin constante y registro de todas las incidencias. Realizacin de auditoras internas. Evaluacin de riesgos peridica, revisin del nivel de riesgo residual, del propio SGSI y de su alcance. Mejora continua del SGSI. La documentacin del SGSI deber incluir: Poltica y objetivos de seguridad. Alcance del SGSI. Procedimientos y controles que apoyan el SGSI. Descripcin de la metodologa de evaluacin del riesgo. Informe resultante de la evaluacin del riesgo. Plan de tratamiento de riesgos. Procedimientos de planificacin, manejo y control de los procesos de seguridad de la informacin y de medicin de la eficacia de los controles. Registros. Declaracin de aplicabilidad (SOA -Statement of Applicability-). Procedimiento de gestin de toda la documentacin del SGSI.

Puntos importantes a evaluar en la auditoria: Poltica de seguridad. Asignacin de responsabilidades de seguridad. Formacin y capacitacin para la seguridad. Registro de incidencias de seguridad. Gestin de continuidad del negocio. Proteccin de datos personales. Salvaguarda de registros de la organizacin.

Derechos de propiedad intelectual.

Auditora y certificacin Una vez implantado el SGSI en la organizacin, y con un historial demostrable de al menos 3 meses, se puede pasar a la fase de auditora y certificacin, que se desarrolla de la siguiente forma: 1. Solicitud de la auditora por parte del interesado a la entidad de certificacin. 2. Respuesta por parte de la entidad certificadora. 3. Compromiso. 4. Designacin de auditores, determinacin de fechas y establecimiento conjunto del plan de auditora. 5. Pre-auditora: opcionalmente, puede realizarse una auditora previa que aporte informacin sobre la situacin actual y oriente mejor sobre las posibilidades de superar la auditora real. 6. Fase 1 de la auditora: no necesariamente tiene que ser in situ, puesto que se trata del anlisis de la documentacin por parte del Auditor Jefe y la preparacin del informe de la documentacin bsica del SGSI del cliente, destacando los posibles incumplimientos de la norma que se verificarn en la Fase 2. Este informe se enva junto al plan de auditora al cliente. El periodo mximo entre la Fase 1 y Fase 2 es de 6 meses. 7. Fase 2 de la auditora: es la fase de detalle de la auditora, en la que se revisan in situ las polticas, la implantacin de los controles de seguridad y la eficacia del sistema en su conjunto. Se inicia con una reunin de apertura donde se revisa el objeto, alcance, el proceso, el personal, instalaciones y recursos necesarios, as como posibles cambios de ltima hora. Se realiza una revisin de las exclusiones segn la Declaracin de Aplicabilidad (documento SOA), de los hallazgos de la Fase 1, de la implantacin de polticas, procedimientos y controles y de todos aquellos puntos que el auditor considere de inters. Finaliza con una reunin de cierre en la que se presenta el informe de auditora. 8. Certificacin: en el caso de que se descubran durante la auditora no conformidades graves, la organizacin deber implantar acciones correctivas; una vez verificada dicha implantacin o, directamente, en el caso de no haberse presentado no conformidades, el auditor podr emitir un informe favorable y el SGSI de organizacin ser certificado segn ISO 27001. 9. Auditora de seguimiento: semestral o, al menos, anualmente, debe realizarse una auditora de mantenimiento; esta auditora se centra, generalmente, en partes del sistema, dada su menor duracin, y tiene como objetivo comprobar el uso del SGSI y fomentar y verificar la mejora continua. 10. Auditora de re-certificacin: cada tres aos, es necesario superar una auditora de certificacin formal completa como la descrita.

Importancia de la certificacin Naturalmente, la organizacin que implanta un SGSI no tiene la obligacin de certificarlo. Sin embargo, s es recomendable ponerse como objetivo la certificacin, porque supone la oportunidad de recibir la confirmacin por parte de un experto ajeno a la empresa de que se est gestionando correctamente la seguridad de la informacin, aade un factor de tensin y de concentracin en una meta a todos los miembros del proyecto y de la organizacin en general y enva una seal al mercado de que la empresa en cuestin es confiable y es gestionada transparentemente. Entidades de certificacin Las entidades de certificacin son organismos de evaluacin de la conformidad, encargados de evaluar y realizar una declaracin objetiva de que los servicios y productos cumplen unos requisitos especficos. En el caso de ISO 27001, certifican, mediante la auditora, que el SGSI de una organizacin se ha diseado, implementado, verificado y mejorado conforme a lo detallado en la norma. Existen numerosas entidades de certificacin en cada pas, ya que se trata de una actividad empresarial privada con un gran auge en el ltimo par de dcadas, debido a la creciente estandarizacin y homologacin de productos y sistemas en todo el mundo. La organizacin que desee certificarse puede contactar a diversas entidades certificadoras y solicitar presupuesto por los servicios ofrecidos, comparando y decidindose por la ms conveniente, como hace con cualquier otro producto o servicio. Para que las entidades de certificacin puedan emitir certificados reconocidos, han de estar acreditadas. Esto quiere decir que un tercero, llamado organismo de acreditacin, comprueba, mediante evaluaciones independientes e imparciales, la competencia de las entidades de certificacin para la actividad objeto de acreditacin. En cada pas suele haber una sola entidad de acreditacin (en algunos, hay ms de una), a la que la Administracin encarga esa tarea. En Espaa, es ENAC (Entidad Nacional de Acreditacin) ; para otros pases, puede consultarse esta lista.