¿Crees en ISO / IEC 27001? ¿Acepta que una empresa que está implementando y manteniendo un sistema de gestión basado en ISO / IEC 27001 tendrá procesos efectivos de gestión de seguridad de la información?
Si no lo hace, entonces es inútil preocuparse por cómo podemos confiar en los organismos de certificación, como BSI. Muchas personas no entienden el estándar en primer lugar, pensando que todo se trata de TI, o que si hay un incidente de seguridad importante, entonces el estándar, o el organismo de certificación, ha fallado de alguna manera.
De hecho, el mayor problema, en mi opinión, está en la implementación y alrededor del alcance inadecuado del SGSI, más comúnmente es la inclusión del departamento de TI a expensas de todo lo que se llama el "negocio real". Una verdadera receta para perder tiempo y dinero, y una que espero que se encuentre menos con el lanzamiento de la versión 2013 del estándar.
Dicho de otra manera, tener la certificación ISO / IEC 27001 no significa que tenga una buena seguridad de la información, ya que eso dependerá de muchos factores. Lo que sí significa es que la organización ha establecido un SGSI, está implementando y manteniendo ese SGSI, y que el SGSI se revisa y mejora de manera continua. La función del auditor es principalmente: 1) verificar la conformidad con los requisitos, y 2) evaluar la efectividad del SGSI, es decir, lograr sus objetivos de política de manera consistente.
En certificación, confía en las capacidades de los auditores individuales que realizan las auditorías en nombre del organismo de certificación. Si dos auditores diferentes y competentes planean y realizan la misma auditoría, ambos surgirán con resultados diferentes. Para tener confianza en este proceso, también debe comprender cómo funciona, su valor y sus puntos débiles.
Como se mencionó anteriormente, los organismos nacionales de acreditación como UKAS ayudan a darnos esa confianza al auditar a los organismos de certificación, esencialmente en nuestro nombre, y eliminar la acreditación si el organismo de certificación no cumple con sus propios requisitos de sistema de gestión y cumple con los estándares como ISO / IEC 17021 (requisitos de evaluación de la conformidad), que, por ejemplo, requiere que los organismos de certificación y sus auditores sean independientes en la realización de la auditoría. ¿Cuántas empresas de certificación ve que también ofrecen servicios de consultoría? La consulta y la auditoría son dos opuestos completos, e invitarán al sesgo en el resultado de la auditoría. Las empresas acreditadas como BSI no pueden proporcionar servicios de consultoría.
Otro requisito importante es que los organismos de certificación deben contar con procesos efectivos para la selección y capacitación de auditores que garanticen la competencia necesaria, lo cual es muy importante, ya que estamos siendo auditados por personas, y todos son diferentes. Los buenos organismos de certificación garantizarán la coherencia tanto como sea posible y con un alto nivel.
Entonces, para responder a la pregunta, confiamos en los organismos de certificación "acreditados" porque entendemos que están siendo monitoreados por un tercero competente e independiente y que deben mantener ciertos estándares para seguir acreditados.
¿Hay organismos de certificación buenos y malos? ¿Hay buenos y malos auditores? ¡SÍ a ambos! Es gris, y como lo mencionó anteriormente otro cartel, es una convención de confianza. En última instancia, creo que es la reputación del organismo de certificación que buscamos para esa confianza y es la razón principal por la que el certificado (op) original del póster se percibe como inútil en comparación con el certificado de la organización de certificación conocida. p>
Una nota más sobre este punto, no hay un 'requisito' para la certificación en la norma. Es una elección que hace una empresa para [principalmente] generar confianza en el exterior de que están comprometidos con el proceso. ¿Por qué lo pregunté al principio? ¿Crees en el proceso?
Igualmente, cualquier persona (yo, usted y el operador) puede llevar a cabo y certificar que una empresa cumple con la norma ISO / IEC 27001, no hay nada de malo en esto, según los beneficios que la organización esté buscando. Ciertamente, un certificado 'no acreditado' de la operación no tendrá mucho peso en la visión de la comunidad, pero se debe tener en cuenta que todo se reduce al auditor, y no hay razón para que la operación o cualquier otra persona no pueda ser lo suficientemente competente y con experiencia en la realización de auditorías ISO / IEC 27001 y estar en condiciones de proporcionar un gran valor a un cliente de auditoría al proporcionar una opinión independiente.
¿Por qué confiamos en las organizaciones que certifican ISO / IEC 27001? Quizás por las mismas razones que confiamos en las Autoridades de Certificación SSL - Reputación.
Sólo una opinión ..