TALENTO HUMANO

• Dónde puedo ver si una empresa está certificada?

Existe un registro internacional de referencia de organizaciones certificadas en ISO 27001 a nivel mundial en iso27001certificates.com. Para aparecer en este listado las entidades de certificación acreditadas deben comunicar explicitamente un proceso de regitro. Estas acciones adicionales de caracter administrativo hacen que no todas las empresas certificadas apararezcan en esta web pero permite tener una idea del rápido desarrollo de la norma, de los tipos de empresa y alcances certificados, entre otros.

El organismo ISO ofrece adicionalmente a inicios de año un informe "ISO Survey" que muestra la evolución de los Sistemas de Gestión relacionados con los estándares adoptados con mayor éxito y ofrece resultados por cantidad, país y evolución respecto a años anteriores, aunque no especifica los detalles particulares para cada una de las certificaciones.

Las certificaciones emitidas por entidades de certificación no acreditadas no tienen la garantía del reconocimiento internacional y no cuentan por tanto en ninguna de estas dos referencias. Tampoco se garantiza que sean efectivamente consideradas efectivamente en posibles contratos con la administración o entidades privadas de ahí la importancia que la supervisión de las entidades de certificación por otra entidad superior e independiente de acreditación.

¿Quién acredita a las entidades certificadoras?

Cada país tiene una entidad de acreditación (algunos, varias) que se encarga de supervisar que las entidades de certificación (las que, finalmente, auditan y certifican los sistemas de gestión de las empresas) están capacitadas para desempeñar su labor y se ajustan a los esquemas establecidos. En España, es ENAC (Entidad Nacional de Acreditación; http://www.enac.es) quien tiene esta misión y existe como regla general una única entidad de acreditación por país (una contada excepción se localiza en Nueva Zelanda que comparte la misma entidad de acreditación con Australia).

También se da el caso de entidades certificadoras con actividades en un país determinado que expiden certificados bajo esquema de acreditación de una entidad de acreditación extranjera. En ISO 27001, se da frecuentemente el caso de entidades de certificación con oficinas en UK acreditadas desde un inicio con UKAS (entidad nacional de acreditación del Reino Unido) y que siguen gestionando internamente los expedientes y expedición de certificados desde UK, por carencias en la posibilidad de acreditación en ISO 27001 a nivel nacional dada su corta vida aún como ISO, por petición específica de sus clientes o temas de marketing o, incluso, por evitar múltiples tasas y auditorías de acreditación nacionales y mantener una única oficina centralizada para la tramitación de la documentación y emisión de certificados.

¿Cómo es el proceso de certificación?

El proceso de certificación puede resumirse en las siguientes fases:

• Solicitud por parte del interesado a la entidad de certificación y toma de datos por parte de la misma.

• Respuesta en forma de oferta por parte de la entidad certificadora.

• Compromiso.

• Designación de auditores, determinación de fechas y establecimiento conjunto del plan de auditoría.

• Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real.

• Fase 1 de la auditoría: revisión del alcance, política de seguridad, Dirección, análisis de riesgos, declaración de aplicabilidad y procedimientos clave.

• Fase 2 de la auditoría: revisión de las políticas, auditoría de la implantación de

los controles de seguridad y verificación de la efectividad del sistema.

• Certificación: acciones

...