07 diciembre 2006

Certificados ISO 27001 en España

Como lo prometido es deuda, hoy intentaré aclarar el "barullo" que hay en torno a los certificados ISO 27001:2005 en España. Y creo que lo más fácil es empezar por la parte de arriba, es decir, por las entidades de acreditación.

A día de hoy, todavía no se ha publicado una norma específica que permita acreditar los esquemas de certificación de ISO 27001. Dicha norma será la ISO 27006, y se espera su publicación para principios (o mediados) del año que viene. En la práctica, esto supone que a día de hoy no hay una norma internacional que permita a las entidades de acreditación (ENAC, en este caso) acreditar certificados bajo ISO 27001. Sin embargo, la mitad de los certificados ISO 27001 expedidos en España llevar acreditación UKAS. Por qué UKAS sí que ha sido capaz de acreditar certificados ISO27001?

UKAS ha utilizado una adaptación de la EN45012, la norma para acreditar los esquemas de certificación de ISO 9001, para acreditar las certificaciones de BS7799-2 en el pasado y las de ISO 27001 en la actualidad. Esta misma norma modificada ha sido adoptada por otras entidades de acreditación, tanto en Europa como en Asia, pero ENAC no se sumó al acuerdo. Probablemente, esto se debiera a que esta norma (EN45012 adaptada para SGSIs) fue impulsada por el ISMS International User Group (ISMS IUG) para poder acreditar las certificaciones bajo BS7799-2, mientras que en España se trabajaba en su versión nacional alternativa, la UNE 71502.

El resultado final es que, por el motivo que sea, ENAC no ha suscrito el MLA que permite acreditar SGSIs bajo dicha norma. Y como ENAC no ha desarrollado ninguna alternativa, y la ISO 27006 todavía no está publicada, el caso es que ENAC no dispone, por el momento, de ningún esquema de acreditación que permita acreditar certificados de SGSIs, ni bajo ISO 27001 ni bajo UNE 71502.

Por lo tanto, si una entidad de certificación quiere que sus certificados de ISO 27001 estén acreditados, a día de hoy tendrá que acreditarlos contra una entidad extranjera. Estas entidades tienen, como aval adicional y elemento de marketing, el respaldo del ISMS IUG, y aparecen listadas en la web que mantiene este organismo. Este mismo organismo también es el responsable de mantener actualizada la lista de SGSIs certificados y acreditados a nivel internacional, y que puede consultarse en esta web.

Y qué ocurre con los certificados sin acreditación? Pues que la credibilidad que tienen es, por el momento, la que la sociedad les otorgue a las entidades que los expiden. Sin embargo, esto puede cambiar, ya que hay entidades de certificación, como Applus y AENOR, que están en proceso de acreditación por parte de ENAC.

Para poder acreditar un esquema de certificación se necesita tener una serie de certificados emitidos, ya que son precisamente esas auditorías de certificación las que la entidad de acreditación tiene que examinar y validar. Y cuando la acreditación sea positiva, los certificados cuyas auditorías se han evaluado para otorgar esa acreditación pasan a estar automáticamente acreditados. Por tanto, que en la actualidad existan certificados sin acreditar no quiere decir que ese mismo certificado no vaya a poder estar acreditado en un futuro.

Resumiendo: A día de hoy hay en España varios certificados ISO 27001 (y también alguno BS7799-2:2002 expedido por BSI, DQS GMBH y LSTI SAS RCS) con acreditación internacionalmente reconocida, expedidos por BSI y LRQA, que pueden consultarse en http://www.iso27001certificates.com. También hay otros certificados, expedidos principalmente por Applus+ y AENOR, que actualmente no están acreditados pero están en proceso de hacerlo (ENAC está utilizando el draft de la ISO 27006 para acelerar el proceso). Y por último, seguro que existen certificados ISO 27001 sin acreditación y que por el momento no tienen visos de tenerla.

3 comentarios:

Carlos dijo...

Muy buen artículo. Gracias por compartir tus conocimientos.

Me gustaría saber si tienes algún link hacia feed RSS de tu blog, para agregarlo a mi lista.

Un saludo

Joseba Enjuto dijo...

Pues no, de momento no tengo configurado ningún feed RSS en mi blog. Pero está en mi lista de tareas pendientes, así que... todo llegará.

Carlos BJ dijo...

Parece que las cosas se mueven. No tengo mas confirmacion que la nota de prensa, pero parece que Applus LGAI queda acreditada por ENAC.