Me han preguntado por qué confiamos en las organizaciones que certifican ISO 27001? ¿De dónde obtuvieron la autoridad y el reconocimiento para poder certificar ISO 27001?
Por ejemplo, puedo iniciar un negocio de certificación y certificar que una empresa cumple con la norma ISO 27001. Sin embargo, no estoy reconocido para hacer eso, por lo que mi "papel firmado" sería inútil. Sin embargo, si BSi lo certifica, no es inútil. Por lo tanto, ¿por qué vale la certificación BSi pero la mía no?
Compañías de certificación como SGS , TÜV Rheinland o BSI están acreditados por las entidades de acreditación para emitir ISO 27001 certificados . Por ejemplo, SGS y BSI están acreditados por UKAS y TÜV Rheinland está acreditado por DAR .
Las entidades de acreditación realizan auditorías de las compañías de certificación que acreditan para garantizar que cumplen con los requisitos de acreditación que utilizan para incluir estándares como ISO 19011. Si no cumplen, su acreditación puede ser eliminada.
¿Quién acredita a las empresas de acreditación? Como han dicho otros, al final existe la convención para confiar en las entidades de acreditación y el sistema que han desarrollado.
¿Crees en ISO / IEC 27001? ¿Acepta que una empresa que está implementando y manteniendo un sistema de gestión basado en ISO / IEC 27001 tendrá procesos efectivos de gestión de seguridad de la información?
Si no lo hace, entonces es inútil preocuparse por cómo podemos confiar en los organismos de certificación, como BSI. Muchas personas no entienden el estándar en primer lugar, pensando que todo se trata de TI, o que si hay un incidente de seguridad importante, entonces el estándar, o el organismo de certificación, ha fallado de alguna manera.
De hecho, el mayor problema, en mi opinión, está en la implementación y alrededor del alcance inadecuado del SGSI, más comúnmente es la inclusión del departamento de TI a expensas de todo lo que se llama el "negocio real". Una verdadera receta para perder tiempo y dinero, y una que espero que se encuentre menos con el lanzamiento de la versión 2013 del estándar.
Dicho de otra manera, tener la certificación ISO / IEC 27001 no significa que tenga una buena seguridad de la información, ya que eso dependerá de muchos factores. Lo que sí significa es que la organización ha establecido un SGSI, está implementando y manteniendo ese SGSI, y que el SGSI se revisa y mejora de manera continua. La función del auditor es principalmente: 1) verificar la conformidad con los requisitos, y 2) evaluar la efectividad del SGSI, es decir, lograr sus objetivos de política de manera consistente.
En certificación, confía en las capacidades de los auditores individuales que realizan las auditorías en nombre del organismo de certificación. Si dos auditores diferentes y competentes planean y realizan la misma auditoría, ambos surgirán con resultados diferentes. Para tener confianza en este proceso, también debe comprender cómo funciona, su valor y sus puntos débiles.
Como se mencionó anteriormente, los organismos nacionales de acreditación como UKAS ayudan a darnos esa confianza al auditar a los organismos de certificación, esencialmente en nuestro nombre, y eliminar la acreditación si el organismo de certificación no cumple con sus propios requisitos de sistema de gestión y cumple con los estándares como ISO / IEC 17021 (requisitos de evaluación de la conformidad), que, por ejemplo, requiere que los organismos de certificación y sus auditores sean independientes en la realización de la auditoría. ¿Cuántas empresas de certificación ve que también ofrecen servicios de consultoría? La consulta y la auditoría son dos opuestos completos, e invitarán al sesgo en el resultado de la auditoría. Las empresas acreditadas como BSI no pueden proporcionar servicios de consultoría.
Otro requisito importante es que los organismos de certificación deben contar con procesos efectivos para la selección y capacitación de auditores que garanticen la competencia necesaria, lo cual es muy importante, ya que estamos siendo auditados por personas, y todos son diferentes. Los buenos organismos de certificación garantizarán la coherencia tanto como sea posible y con un alto nivel.
Entonces, para responder a la pregunta, confiamos en los organismos de certificación "acreditados" porque entendemos que están siendo monitoreados por un tercero competente e independiente y que deben mantener ciertos estándares para seguir acreditados.
¿Hay organismos de certificación buenos y malos? ¿Hay buenos y malos auditores? ¡SÍ a ambos! Es gris, y como lo mencionó anteriormente otro cartel, es una convención de confianza. En última instancia, creo que es la reputación del organismo de certificación que buscamos para esa confianza y es la razón principal por la que el certificado (op) original del póster se percibe como inútil en comparación con el certificado de la organización de certificación conocida. p>
Una nota más sobre este punto, no hay un 'requisito' para la certificación en la norma. Es una elección que hace una empresa para [principalmente] generar confianza en el exterior de que están comprometidos con el proceso. ¿Por qué lo pregunté al principio? ¿Crees en el proceso?
Igualmente, cualquier persona (yo, usted y el operador) puede llevar a cabo y certificar que una empresa cumple con la norma ISO / IEC 27001, no hay nada de malo en esto, según los beneficios que la organización esté buscando. Ciertamente, un certificado 'no acreditado' de la operación no tendrá mucho peso en la visión de la comunidad, pero se debe tener en cuenta que todo se reduce al auditor, y no hay razón para que la operación o cualquier otra persona no pueda ser lo suficientemente competente y con experiencia en la realización de auditorías ISO / IEC 27001 y estar en condiciones de proporcionar un gran valor a un cliente de auditoría al proporcionar una opinión independiente.
¿Por qué confiamos en las organizaciones que certifican ISO / IEC 27001? Quizás por las mismas razones que confiamos en las Autoridades de Certificación SSL - Reputación.
Sólo una opinión ..
En última instancia, es de confiar. ¿Quién le confía para auditar contra ISO27001?
En el caso de BSi, se establecieron como parte del proceso (de hecho BS7799, que era un estándar desarrollado por BSi ISO27001 y IIRC se convirtió efectivamente en ISO27001 cuando se creó por primera vez).
Entonces, como parte de la creación de un estándar, debe crear y administrar un proceso de auditoría para manejar la certificación, por lo que grupos como el gobierno del Reino Unido confían en ellos para hacer eso.
Teóricamente, cualquiera podría crear su propio estándar de cumplimiento de seguridad basado en ISO27001, pero el problema es "¿por qué confiarías en ellos?"
El ISO27001 es un estándar contra el cual se audita una organización. No es una prueba de pluma ni una revisión de código, se centra principalmente en la administración, las políticas, etc. Es un tercero que proporciona una seguridad razonable sobre la efectividad operativa, los controles, etc. de la empresa. p.ej. Si una organización ha sido certificada, todavía tendría acuerdos legales, contratos, etc. para gestionar el riesgo. La confianza no es lo mismo que una garantía.
La organización que quiere certificarse también elige quién los auditará. Podrían contratar a una compañía de inicio sin nombre de alguien, pero por lo general contratarán alguna marca que tenga confianza y respeto en el mercado para lo que valga . Las firmas de auditoría y certificación tienen reputación. Si necesita que su proveedor esté certificado, puede pedirle que utilice una lista de proveedores aprobados o decir que no nos importará su certificado porque no tenemos ninguna razón para confiar o confiar en el tercero que hizo la revisión. También se puede verificar las credenciales del tercero que realiza la certificación, por ejemplo, Auditor Líder ISO / IEC 27001 .
El punto de cualquier tipo de revisión por parte de un tercero (SOC1 / SSAE16, SOC2, ISO27001, etc.) es obtener cierta seguridad razonable a un costo menor, y luego realizar una auditoría completa por su cuenta. La organización puede ser revisada una vez por un tercero de confianza con criterios comunes; de lo contrario, cada cliente tendría que auditar o revisar la empresa de forma independiente: esto desperdicia el tiempo de la empresa y es probablemente mucho más costoso para el cliente. No hay ningún requisito para confiar en la certificación ISO27001 de alguien. Si es tan importante, siempre puede negociar para que se realice su propia revisión independiente según sus propios criterios.
Lea otras preguntas en las etiquetas corporate-policy compliance iso27001