¿Cómo saber si mi certificación ISO 27001 es legítima?

De -


Ante el crecimiento en la popularidad y adopción de ISO/IEC 27001 como el estándar de facto en materia de seguridad de la información, en ocasiones existen dudas sobre cómo validar la legitimidad y vigencia de un certificado.

Antes que nada vale la pena hacer una pequeña aclaración. Si bien en el mercado se le llana ISO 27000 o a veces ISO 27001, hay que señalar que la forma correcta es ISO/IEC 27001 y su nombre es “Sistema de Gestión de Seguridad de la Información – Requisitos” y su versión vigente es la 2013. La norma ISO 27000, propiamente ISO/IEC 27000, es la referente al vocabulario y en muchas ocasiones nos referimos a toda la familia de normas como 27000, considerando que además de las dos ya mencionadas existen muchas más con lineamientos, guías de implementación, métricas, aplicaciones sectoriales, lineamientos de auditoría, competencia del personal, etc, que forman parte de esta amplia familia. Por otro lado, el prefijo ISO/IEC se refiere a que hay dos organismos de normalización involucrados en su creación: por un lado la Organización Internacional de Estándares, ISO por sus siglas en inglés y hoy llamada “International Organization for Standardization” y por otro lado la IEC, International Electrotechnical Commission, que es el comité electrotécnico internacional, dedicado a la estandarización en temas tecnológicos.

Las certificaciones en esta materia adquieren validez internacional gracias a distintos acuerdos internacionales entre organismos de certificación y Órganos de Acreditación, cuya trazabilidad podemos iniciar en la misma página de ISO:

La certificación tiene un reconocimiento internacional gracias al esquema de acreditación establecido por el comité de evaluación de la conformidad de ISO: CASCO. Citando el texto extraído de la página de certificación de ISO http://www.iso.org/iso/home/standards/certification.htm :
Choosing a certification body
When choosing a certification body, you should:
·     Evaluate several certification bodies.
·     Check if the certification body uses the relevant CASCO standard (en este caso ISO/IEC 17021-1 para Certificación de Sistemas de Gestión)
·     To find an accredited certification body, contact the national accreditation body in your country or visit the International Accreditation Forum.

Ese Foro Internacional de Acreditadores agrupa a todos los acreditadores del mundo que establecen acuerdos de reconocimiento multilateral. Por ejemplo la EMA; al ser el ente mexicano firmante del IAF y éste a su vez ser el órgano que, de acuerdo con ISO, da reconocimiento internacional a las certificaciones, por medio del Multilateral Recognition Agreement MLA (Acuerdo de Reconocimiento Mutuo del cual México es firmante con el alcance principal de “Sistemas de gestión y certificación de producto” y del sub alcance para “Sistemas de Gestión de Seguridad de la Información” http://www.iaf.nu/articles/IAF_MEM_Mexico/91 ); acredita las certificaciones realizadas bajo la norma ISO/IEC 17021-1 para sistemas de gestión y en particular ISO/IEC 27001 para SGSI.

En este sentido la IAF establece con respecto de las certificaciones emitidas bajo el alcance principal del MLA: “A main scope means certificates are ‘equally reliable’ because the conformity assessment bodies conform to the same standard” O sea que la certificación bajo la acreditación de ISO/IEC 17021 es “igualmente confiable” para todos los sistemas de gestión antes mencionados. Para los sistemas de gestión basados en las normas ISO 9001, ISO/IEC 27001 y ISO 14001 la IAF cuenta con un sub-alcance específico, el cual establece para las certificaciones emitidas bajo la acreditación de un firmante del sub alcance del MLA: “A sub-scope means the certificates are ‘equivalent’ because the management systems, products, services or persons conform to the same standard.” En otras palabras, que las certificaciones emitidas bajo el sub alcance del MLA para estas normas son “equivalentes” pues son evaluadas bajo los mismos estándares, lo cual brinda un mayor reconocimiento internacional a la certificación. http://www.iaf.nu/articles/Scopes/16 .

Por esto la certificación otorgada bajo el amparo de la acreditación de la ema o cualquiera de los demás firmantes del MLA de la IAF cumple con los requisitos para el reconocimiento internacional, apelando a su slogan de “Certificado una vez, válido en cualquier lado”.

Una vez identificado que el ente de acreditación cuenta con el alcance y sub-alcance para acreditar el esquema de Sistema de Gestión de Seguridad de la Información basado en la norma ISO/IEC 27001, podemos consultar con ese organismo de acreditación la lista de los organismos de certificación acreditados, de forma que los certificados emitidos por éstos tendrán la validez internacional antes señalada.

En resumen:
1)      Dentro de un certificado encontrarás los siguientes datos:
·         Nombre de Ente Acreditador (Firmante de la IAF)
·         Nombre del organismo Certificador (Acreditados por el Ente Acreditador)
·         Número de certificado
·         Fecha de emisión
·         Fecha de vencimiento
·         Alcance
2)      Revisar en la página de la IAF que el Ente Acreditador sea un firmante del MLA y en particular que cuente con el sub-alcance para Sistemas de Gestión de Seguridad de la Información Basados en ISO/IEC 27001
3)      Validar en el sitio del Ente Acreditador que el Organismo de Certificación se encuentra acreditado para certificar Sistemas de Gestión de Seguridad de la Información Basados en ISO/IEC 27001
4)      Validar con el organismo de certificación que el certificado es válido y que no se encuentra suspendido o cancelado por algún incumplimiento por parte de la organización certificada
Para que un certificado se mantenga válido es necesario que se reciba una auditoría de vigilancia por lo menos una vez al año, para garantizar que los elementos que exige la norma, los requisitos de la regulación aplicable y los criterios establecidos por la propia organización continúan siendo cumplidos y se han atendido los incidentes y desviaciones detectadas.

 Por último es importante mencionar que los certificados tienen un “alcance”, que se refiere a la cobertura que tiene el sistema de gestión de seguridad de la información con respecto de los productos, servicios, procesos, áreas operativas, cobertura geográfica y hasta el nombre o tipo de clientes que fueron evaluados durante las auditorías de certificación y vigilancia. En el caso de los sistemas de gestión de seguridad de la información, la redacción del alcance de la certificación incluirá una referencia a una Declaración de Aplicabilidad, que es un documento que incluye los controles de seguridad que han sido implementados por la organización y en su caso la justificación aceptada por el organismo de certificación de que algún control no aplica al contexto de la organización porque no se llevan a cabo las actividades que dan origen a dicho control. Es importante validar que el alcance de la certificación abarca los servicios principales que ofrece la organización certificada, de forma que esto dé certidumbre a sus clientes de que los servicios que le presta están cubiertos por la certificación, así como validar los controles implementados y asegurarnos que no fueron excluidos controles relevantes para el tipo de operación que la organización lleva a cabo.

Comentarios

Publicar un comentario

Entradas populares de este blog

Investigación Forense con Autopsy

De -
Imagen
Investigación Forense con Autopsy (WINDOWS) Autopsy es una herramienta de análisis forense digital de código abierto utilizada principalmente por investigadores, analistas de seguridad y profesionales de la informática forense para examinar y recuperar datos de dispositivos de almacenamiento, como discos duros, unidades flash y otros medios digitales. Desarrollada originalmente por el Departamento de Defensa de los Estados Unidos, Autopsy ofrece una interfaz gráfica amigable que facilita la realización de investigaciones forenses. Las funciones principales de Autopsy son: Análisis de imágenes de disco: permite la creación y el análisis de imágenes de disco completas, lo que permite examinar el contenido de un disco duro o cualquier otro medio de almacenamiento de manera detallada. Recuperación de archivos eliminados: Autopsy puede recuperar archivos que han sido borrados, brindando la posibilidad de analizar información que se creía perdida. Análisis de actividades recientes: facilita ...
Leer más

Preocupaciones y propuestas sobre los cambios en la ley Telecom y la CURP biométrica

De -
Imagen
Ante la nueva Ley de Telecomunicaciones y Radiodifusión  y la implantación de la CURP biométrica, más allá de la discusión (muy necesaria, pero fuera del ámbito de este artículo) sobre si estas leyes son adecuadas, es necesario asumir que ya son un hecho y que si bien abren la puerta a un sistema de identidad y conectividad sin precedentes en México, también levantan preocupaciones sobre la vigilancia masiva, la exposición de los datos más personales y varios otros riesgos que es relevante atender. Esto plantea un dilema democrático: ¿puede el Estado saber dónde estoy cada minuto sin romper la presunción de inocencia? Definitivamente la privacidad es una preocupación que todos debemos tener desde las actividades que hacemos diariamente, desde la información que publicamos en redes sociales estamos dando a conocer datos de nosotros mismos y que son utilizados para perfilamiento sobre nuestros gustos, preferencias y costumbres, que pueden ser utilizados tanto para fines legítimos, de...
Leer más

Plausibilidad técnica vs prudencia analítica: mi análisis sobre el caso del presunto uso de Claude para vulnerar datos en México

De -
Imagen
  El reportaje de Bloomberg sobre un atacante que habría utilizado Claude, de Anthropic, para comprometer información sensible de instituciones mexicanas merece una lectura más cuidadosa de la que normalmente producen los titulares virales. La nota sostiene, con base en investigadores de Gambit Security, que se extrajeron alrededor de 150 GB de datos y que el ataque afectó registros fiscales, padrones electorales y otros archivos públicos. Pero es de resaltar que el mismo 25 de febrero de 2026, Reuters reportó que Gambit salió de “stealth mode” y anunció una ronda de 61 millones de dólares, mientras que el propio comunicado de la empresa ligó explícitamente ese financiamiento con la divulgación de “nueva investigación” sobre la ruta del ataque en México. Esa coincidencia no invalida por sí sola el hallazgo, pero creo que obliga a separar evidencia técnica de la narrativa comercial. La primera distinción importante es entre lo técnicamente posible y lo específicamente probado. H...
Leer más