Auditoria de certificacion
-
Upload
alexander-cruz -
Category
Education
-
view
157 -
download
6
description
Transcript of Auditoria de certificacion
Auditoría decertificación
Ing. Edwyn Sanders
© FUOC • XP07/92089/00001 Auditoría de certificación
Índice
1. Proceso de auditoría de certificación ..................................... 5
1.1. Ventajas de la certificación ....................................................... 8
1.2. Proceso de auditoría .................................................................. 9
1.2.1. Auditoría documental .................................................... 11
1.2.2. Auditoría in-situ ............................................................. 14
© FUOC • XP07/92089/00001 5 Auditoría de certificación
1. Proceso de auditoría de certificación
El objetivo de los procesos de certificación es verificar la correcta implantación
de las normativas relativas a la gestión de la seguridad de la información, con-
cretamente a la implantación de la norma ISO/IEC 27001 o la UNE 71502.
La normativa ISO/IEC 27001 corresponde a las especificaciones de los sistemas
de gestión de la seguridad de la información. Es decir, indica todos los requisi-
tos que ha de tener el sistema de gestión que una organización establece para
gestionar la seguridad mediante la implantación de controles. Estos controles,
que son un elemento más dentro del sistema de gestión, están recogidos en
la norma ISO/IEC 17799. Pero los controles no están recogidos únicamente
en esa norma ISO. Si la organización estima más útil emplear otro catálogo de
controles como referencia, el SGSI implantado seguiría siendo certificable.
Recordemos que los catálogos de controles, como por ejemplo la ISO/IEC
17799 o COBIT, son otras normativas existentes en el ámbito de la seguridad
de la información y no son auditables. Las organizaciones pueden utilizar es-
tas normas como el marco de referencia con el que diseñar los controles de
seguridad que reduzcan el nivel de riesgo. Al tratarse de catálogos de buenas
prácticas, contienen toda una serie de controles que puede o no ser necesario
implantar en una organización concreta. únicamente tras un proceso de aná-
lisis y gestión del riesgo, la organización realizará una selección de los contro-
les aplicables. Por tanto, no es posible auditar la implantación de catálogos de
controles como la norma ISO/IEC 17799. Son un elemento más, eso sí funda-
mental, de los sistemas de gestión de la seguridad.
De todas formas, las normas que dan los requisitos de los SGSI están basadas en
lo que se establece en los catálogos de buenas prácticas, pero en lugar de indicar
las características de seguridad que se pueden implantar, aportan los aspectos
fundamentales que ha de cumplir el sistema de gestión de la seguridad de
la información para poder dictaminar que es correcto, que cumple con sus
especificaciones y que, por tanto, al estar correctamente implantado, podrán
ayudar a la organización a mantener un nivel de seguridad óptimo.
Los sistemas de gestión de la seguridad de la información de cada organización
no tienen por qué ser iguales, sino que dependerán de las características pro-
pias de cada una. En la ISO/IEC 27001 no se obliga a tener una determinada
configuración para los aspectos de seguridad. La norma indica los requisitos
que el sistema de gestión deberá poseer, y con posterioridad cada organización
determinará cómo tienen que implantar dicho control.
© FUOC • XP07/92089/00001 6 Auditoría de certificación
Durante el proceso de certificación, el auditor tratará de verificar que la orga-
nización que posee el sistema de gestión de la seguridad de la información ha
implantado el modelo PDCA.
El modelo PDCA
Recordemos que el modelo PDCA consiste en:
• Planificar. Decidir qué medidas de seguridad han de implantarse.• Hacer. Implantar las medidas en la organización.• Verificar. Trabajar analizando que no sucedan incidentes de seguridad.• Actuar. Realizar cambios en el SGSI en base a las evidencias generadas.
Modelo de sistema PDCA
Es importante que quede claro que el certificador no pretenderá decir si una
organización es más o menos segura, sino que pretende verificar que la orga-
nización realiza una gestión de la seguridad de la información y que posee las
herramientas adecuadas para efectuarla de manera correcta.
El auditor podría dictaminar si un determinado aspecto de la seguridad
de una organización es correcto o incorrecto, pero lo que principalmen-
te querrá verificar es que se han dispuesto las medidas para poder cum-
plir el modelo PDCA.
Como punto de partida de la revisión del auditor, y también de la implanta-
ción de un SGSI, la fase de planificación resulta esencial, tanto por la defini-
ción del alcance del SGSI como por el análisis de riesgos. Al igual que toda la
gestión de la seguridad está basada en el análisis de riesgos, toda la revisión
que hace el auditor se fundamentará en el análisis de riesgos que haya reali-
zado la organización.
Análisis de riesgos
Recordad que el análisis deriesgos permite identificar quécontroles de seguridad han deimplantarse en una organiza-ción según los riesgos ante losque se encuentra expuesta.
© FUOC • XP07/92089/00001 7 Auditoría de certificación
Lo que pretende el auditor no es tanto analizar si el análisis de riesgos se ha
hecho correctamente, sino comprobar que se ha realizado metodológicamente
de manera correcta, y asume que los riesgos que ha detectado la organización
son los correctos. Partiendo de estos riesgos, el auditor tratará de verificar que
se han implantado las medidas de seguridad necesarias para reducirlos.
En el caso de que este análisis de riesgos sea muy inadecuado, o que se haya
utilizado una metodología incorrecta (por ejemplo, que no se corresponda con
el alcance del SGSI, o que no se fundamente en "activos", "amenazas" y "vulne-
rabilidades") podrá dictaminar que el análisis de riesgos es incorrecto. Pero en
circunstancias normales el auditor asumirá que los riesgos que la organización
ha considerado son los que realmente le afectan.
La organización tendrá que mostrar y defender delante del auditor la
implantación de unas determinadas medidas de seguridad en base a los
riesgos detectados.
Volviendo al modelo PDCA, el auditor querrá verificar que la organización
mejora o actúa en base a los indicadores que haya establecido su sistema de
gestión de la seguridad de la información.
Tal y como se explicó, a la hora de las normativas de seguridad, existen dos
visiones para realizar los cambios en el sistema de gestión de la seguridad de
la información, en base a:
• Registros: evidencias de funcionamiento del SGSI.
• Métricas e indicadores: índices o valores que se pueden emplear para eva-
luar la evolución del funcionamiento del SGSI.
Concretamente, los SGSI que están basados en la Normativa ISO/IEC 27001
se fundamentan en la creación tanto de registros, como de métricas e indi-
cadores. Por lo tanto, la organización ha de definir una serie de indicadores
que determinan en qué momento el sistema de gestión de la seguridad de la
información no cumple con las expectativas creadas por la dirección de la or-
ganización, y deberá establecer las métricas, o formas de cálculo, que se con-
frontarán con los indicadores.
Durante este proceso de auditoría, se tratará de verificar que existen estos in-
dicadores, que son conocidos por la organización y que se utilizan para la rea-
lización de los cambios en la seguridad.
© FUOC • XP07/92089/00001 8 Auditoría de certificación
1.1. Ventajas de la certificación
De manera general, la implantación de un sistema de gestión de seguridad de
la información según alguna de las normas (UNE 71502 o ISO/IEC 27001) da
a las organizaciones, independientemente de su tamaño o sector económico
en el que realicen su actividad, las siguientes ventajas:
• Conocer y analizar sus riesgos, identificando amenazas, vulnerabilidades
e impactos en la actividad empresarial.
• Prevenir, eliminar o reducir eficazmente el nivel de riesgo mediante la im-
plantación de los controles adecuados, preparándose ante posibles emer-
gencias y garantizando la continuidad del negocio.
• Asegurar su compromiso con el cumplimiento de la legislación vigente
sobre protección de datos de carácter personal, servicios de la sociedad de
la información, comercio electrónico, propiedad intelectual y, en general,
con aquélla relacionada con la seguridad de la información.
• Planificar, organizar y estructurar los recursos asignados a seguridad de la
información.
• Definir objetivos y metas que permitan aumentar el grado de confianza
en la seguridad.
• Establecer procesos y actividades de revisión, mejora continua y auditoría
de la gestión y tratamiento de la información.
• Integrar la gestión de la seguridad de la información con el resto de siste-
mas de gestión implantados en la empresa.
• Aportar un valor añadido de confianza en la protección de la información,
mejorando su imagen de cara a otras empresas y convirtiéndose en un
factor de distinción frente a la competencia.
Las anteriores ventajas al implantar un SGSI repercuten directamente en el
funcionamiento interno de las organizaciones; sin embargo, existe el proble-
ma de transmitir al mercado la mejora que supone esta nueva forma de ges-
tionar de la seguridad.
La necesidad de certificar la seguridad surge de la dificultad de responder a la
pregunta de en qué manera las organizaciones pueden aportar a los clientes,
proveedores, y a la sociedad en general, la confianza necesaria de que son ca-
paces de cumplir sus requisitos de forma segura. Esto es especialmente crucial
cuando el servicio o el bien que las organizaciones se intercambian no es ma-
terial sino que se trata de simple y pura información.
© FUOC • XP07/92089/00001 9 Auditoría de certificación
La única forma que la organización tiene de contestar esta pregunta es supe-
rando una revisión independiente de las medidas de seguridad que tiene im-
plantadas y que certifica que lo está haciendo bien, de acuerdo a un esquema
con el que todos están conformes.
Con estas certificaciones se obtienen las siguientes ventajas:
• Externas
– Aumentar la credibilidad y confianza de clientes y administración.
– Facilitar el intercambio y acceso a mercados externos.
– Evitar o disminuir evaluaciones sobre nuestros productos o servicios.
– Ser un elemento diferenciador con la competencia.
– Fidelizar a los clientes.
– Facilitar la compra al consumidor.
• Internas
– Proporcionar confianza a las personas de la organización.
– Reducir costes.
– Aumentar la motivación del personal.
– Mejorar la satisfacción del cliente interno.
– Mejorar la satisfacción del personal.
– Mejorar los procesos.
– Mejorar el producto o servicio.
Durante el proceso de auditoría lo que pretende el auditor no es encontrar
incumplimientos en las medidas de seguridad implantadas, sino:
• Tratar de evaluar la efectividad de la organización con respecto al uso de
los recursos.
• Evaluar los sistemas y procesos que se desarrollan en la organización.
• Detectar y prevenir posibles errores y fraudes.
• Evaluar el riesgo y los sistemas de seguridad de las organizaciones.
• Evaluar los planes de contingencia y recuperación en caso de desastres.
1.2. Proceso de auditoría
El proceso de auditoría que aplica cada organización de certificación puede
variar en ciertas fases y en la duración o importancia que se dé a cada una.
Sin embargo, podemos asegurar que el proceso completo para realizar una
auditoría de certificación incluye las fases que se muestran en el diagrama
siguiente:
© FUOC • XP07/92089/00001 10 Auditoría de certificación
Proceso de auditoría de certificación en España
© FUOC • XP07/92089/00001 11 Auditoría de certificación
Tal y como se ha comentado repetidamente, la auditoría certificará la situa-
ción del SGSI en un momento dado, por lo que todas las organizaciones de
certificaciones otorgan su sello de certificación con una validez definida en
el tiempo (habitualmente 3 años). Durante este periodo de validez, la organi-
zación certificada deberá pasar auditorías de seguimiento para demostrar que
su SGSI sigue cumpliendo con la norma de referencia. Pasado el tiempo de
validez de la certificación, se deberá someter a una auditoría de renovación. El
alcance de las auditorías de seguimiento es mucho más reducido que el de la
de certificación o renovación, mientras que la de certificación y de renovación
tienen un alcance idéntico o al menos muy similar.
Como hemos visto en el anterior diagrama, todas las auditorías de los sistemas
de gestión de la seguridad de la información se dividen en dos etapas secuen-
ciales, es decir, que si no se supera la primera no se puede empezar la segunda.
El objetivo es analizar la eficacia y la efectividad de este SGSI en base a
los riesgos ante los que se encuentra expuesta la organización.
1.2.1. Auditoría documental
Esta primera fase consiste en la revisión por parte del equipo auditor de toda
la documentación que forma parte del sistema de gestión de la seguridad de
la información.
El objetivo es verificar que la organización ha implantado los controles en base
a los riesgos que ésta posee y que además estos controles están de acuerdo con
lo que se indica en las normas: ISO/IEC 17799:2005 y la ISO/IEC 27001.
La mínima documentación que se va revisar es la siguiente:
• Política de seguridad de la organización
• Alcance de la certificación
• Análisis de riesgos de la organización
• La selección de controles de acuerdo con la declaración de aplicabilidad
• Revisión de la documentación de los controles seleccionados
Política de seguridad de la organización
Esta política de seguridad podrá no estar desarrollada en un único documento
e incluso el auditor verificará que la política de seguridad pueda estar resumi-
da en un único folio. Sí que se verificará que esté a disposición de todos los
trabajadores de la organización.
© FUOC • XP07/92089/00001 12 Auditoría de certificación
El auditor querrá verificar que se hace mención a la existencia de otra docu-
mentación relativa al SGSI y que ésta se distribuye en base a la necesidad de
conocimiento de los trabajadores.
En pocas palabras, se revisará:
• La definición de la seguridad
• El soporte de la dirección a la implantación del SGSI
• Las explicaciones breves sobre políticas, principios, prácticas y cumpli-
mientos de seguridad
• La definición de responsabilidades
• Las referencias a otros documentosAlcance de la certificación
Este alcance condiciona la certificación y el desarrollo de las auditorías; el au-
ditor únicamente revisará lo referente a este alcance y todo lo que pueda estar
fuera de él no será revisado.
En el caso de que se realice un cambio en el alcance de la certificación, se
tendría que rehacer totalmente la auditoría.
Análisis de riesgos de la organización
El auditor prestará especial atención al análisis de riesgos. Para empezar ten-
drá que estar formalmente aceptado por la dirección de la organización y es
obligatorio que esté documentada tanto la metodología utilizada, que debe
ser coherente con la complejidad de la organización, como los resultados de
dicho análisis de riesgos.
El auditor ha de determinar si el análisis de riesgos cubre todo el alcance defi-
nido por la organización y si es aceptable en función de los activos y la natu-
raleza de la organización. También tiene que revisar que el análisis de riesgos
y la gestión del mismo tiene en cuenta los cambios y si está actualizado.
La selección de controles de acuerdo con la declaración de aplica-bilidad
El auditor, en base a los riesgos analizados, determinará si se han seleccionado
los controles adecuados para reducirlos. Asimismo, también tendrá que verifi-
car que todos esos controles de seguridad quedan reflejados en la declaración
de aplicabilidad y que la dirección aprueba el riesgo residual resultante de im-
plantar estos controles.
En este sentido, se tendrá que defender, ante el auditor, la no implementación
de un control; los motivos pueden ser:
• No existe un riesgo que lo justifique
• Falta de presupuesto
Alcance limitado
Tal y como se ha comentado,es posible que un SGSI no in-cluya la totalidad de la organi-zación, sino que podría definir-se un alcance de un determi-nado proceso o un área con-creta de la organización.
© FUOC • XP07/92089/00001 13 Auditoría de certificación
• No hay viabilidad tecnológica
• No se puede implantar por falta de tiempo
• No es aplicable
Las razones para excluir controles deben ser sólidas y coherentes.
Ejemplo de extracto de una declaración de aplicabilidad
Control Sí/No
Justificación
6.3.1. Comunicación de las incidenciasde seguridad
SÍ Es imprescindible para detectar las inci-dencias en un estado temprano y una delas bases para el proceso de mejora conti-nua.
7.1.5. áreas aisladas de carga y descarga NO No es aplicable, ya que la organizaciónno dispone de áreas de carga y descarga.
8.7.2. Seguridad de soportes en tránsito NO No es aplicable, ya que la organizaciónno envía soportes físicos con informaciónsensible o confidencial.
El documento de declaración de aplicabilidad relaciona el análisis de riesgos
con la situación de la seguridad, tanto para los auditores externos como in-
ternos. Junto con el alcance y la política, constituye la base de la auditoría
documental.
El auditor comprueba la consistencia de los planteamientos referentes a la se-
guridad entre los tres documentos.
Revisión de la documentación de los controles seleccionados
Deben documentarse todos los controles seleccionados por parte de la organi-
zación, retirar la documentación obsoleta y comprobar que la documentación
cumple las siguientes condiciones:
• Está fechada y disponible.
• Dispone de control de versiones.
• Aparecen reflejados los diferentes puntos de la Normativa ISO/IEC 17799.
En base a esta revisión de la documentación, podrían llegar a proponerse tres
situaciones:
• El�auditor�detecta�grandes�no�conformidades.�En este caso, el auditor
rechaza la certificación y propone a la empresa auditada que rehaga la
documentación del SGSI y que, pasado un tiempo, vuelva a requerir el
proceso de auditoría.
• El�auditor�detecta�no�conformidades�menores.�En estos casos, el auditor
propone a la organización auditada que exponga una serie de soluciones
© FUOC • XP07/92089/00001 14 Auditoría de certificación
para estas no conformidades. Será el auditor quien se encargue de decidir
si estas soluciones previstas resolverán estas no conformidades.
El auditado tendrá que proponer no sólo la solución, sino también un
tiempo en el que se resolverá dicha no conformidad.
En el caso de que el auditor decline estas soluciones, se indicará que tendrá
que volver a solicitar la auditoría y, en el caso de que las soluciones que
plantea la organización sean aceptadas por el auditor, procederá a requerir
el paso a la segunda fase de la auditoría.
• El�auditor�no�detecta�no�conformidades.�En estos casos, el auditor pro-
pone a la organización que pase a la segunda fase de la auditoría.
La revisión de la documentación se realiza en las instalaciones del equipo au-
ditor y en ningún momento tendrá que estar presencialmente en las instala-
ciones y en contacto con la organización auditada.
El informe de auditoría de esta primera fase se enviará a la organización para
que la reciba y actúe en consecuencia.
1.2.2. Auditoría in-situ
La segunda fase de la auditoría se desarrolla en las instalaciones de la organi-
zación auditada y en ella el auditor realizará entrevistas para verificar que lo
que se indica en la documentación revisada refleja la situación real de la or-
ganización.
Entre la revisión documental y esta segunda fase deben pasar obligatoriamente
entre tres y seis semanas, y el objetivo es:
• Confirmar que la organización cumple con sus políticas y procedimientos.
• Comprobar que el SGSI desarrollado es conforme con las especificaciones
de la norma.
• Verificar que el SGSI está logrando los objetivos que la organización se ha
marcado.
Planificación de la auditoría
El proceso de auditoría de los controles puede no ser exhaustivo y, antes de
iniciar la auditoría presencial, el equipo auditor podrá realizar una selección
de los controles que van a ser auditados. En este sentido, la muestra deberá:
• Incluir todos los controles críticos.
• Seleccionar controles que afecten a las actividades más importantes de la
organización.
• Seleccionar controles de todas las secciones.
• Seleccionar los controles de forma que se auditen todos los departamentos
involucrados en el SGSI.
© FUOC • XP07/92089/00001 15 Auditoría de certificación
• Dar prioridad a las áreas de mayor riesgo.
• Si no se encuentran problemas serios, se auditarán un 20% de los controles
aplicables.
Una vez se ha realizado la muestra de controles, el equipo auditor elaborará
un plan de auditoría que deberá incluir:
• Alcance y objetivo de la auditoría.
• Equipo por parte de la entidad y del solicitante.
• Personal del solicitante con responsabilidad dentro del área afectada.
• Documentos de referencia.
• Áreas o departamentos que se auditarán.
• Muestras de controles que se auditarán.
• Agenda para las reuniones.
• Contenido y estructura de los informes.
Con anterioridad al desarrollo de la auditoría in-situ, el plan de auditoría será
presentado al auditado para solicitar su conformidad.
Realización de la auditoría
Una vez aprobado por el solicitante el plan de auditoría, se concretarán las
fechas exactas para la visita del equipo auditor a las instalaciones del solici-
tante. En estas revisiones, el equipo auditor se deberá centrar en los siguientes
aspectos:
• El análisis de riesgos.
• La declaración de aplicabilidad.
• Los objetivos que persigue la organización.
• Cómo se monitoriza/mide, y se informa y mejora.
• Las revisiones del SGSI y de la seguridad.
• El grado de implicación de la dirección.
• La coherencia entre políticas, análisis de riesgos, objetivos, responsabili-
dades, normas, procedimientos, datos de rendimiento y revisiones de se-
guridad.
Durante esta segunda fase de la auditoría el equipo auditor deberá realizar
una visita a las instalaciones de la organización (por lo menos del alcance a
certificar) y comprobará que los controles que ha seleccionado en la muestra
cumplen con lo exigido en el estándar.
Durante la realización de estas auditorías, los miembros del equipo auditor
no podrán tocar ninguna máquina, pero podrán solicitar a los empleados de
la organización que realicen las actividades que quieren evaluar para buscar
evidencias que permitan decidir si un control está correctamente implantado
o no.
© FUOC • XP07/92089/00001 16 Auditoría de certificación
Hay que tener en cuenta que el objetivo del auditor no es encontrar no
conformidades (errores) en la organización, sino tratar de determinar si
el sistema de gestión de la seguridad de la información cumple con lo
establecido en la norma.
Para la ejecución de estos procesos, el equipo auditor convocará reuniones con
los miembros seleccionados por la organización para extraer la información
necesaria y verificar la correcta o incorrecta implantación de los controles de
seguridad establecidos por la organización.
Finalmente, el equipo auditor elaborará informes sobre lo observado durante
las entrevistas y redactará documentos de recomendaciones –si procede. Por
último, convocará una reunión con la dirección de la organización para expli-
car y comunicar lo observado durante esta segunda fase, y comunicarles los
resultados de la auditoría.
Entrevistas
En esta segunda fase, el auditor busca evidencias objetivas sobre la implanta-
ción y el funcionamiento de los controles que conforman el sistema de gestión
de la seguridad de la información.
Estas evidencias pueden ser información obtenida a partir de los registros de
actividad (logs), lo importante es que se base en medidas, en pruebas o en la
observación y que sea verificable.
El auditor está capacitado para solicitar al personal de la organización
que le muestre cómo se han generado las evidencias.
Estudio de las evidencias
Para comprobar cómo se han generado las evidencias, el equipo auditor puede utilizarlas siguientes técnicas:
• Preguntas a los empleados• Observación• Revisión de documentos o registros• Muestreo• Resumen, análisis o evaluación
La calidad de la entrevista de auditoría dependerá de la habilidad del auditor
para realizar buenas preguntas. En este caso debe hacerse sentir cómodo al
auditable para que no se sienta interrogado.
© FUOC • XP07/92089/00001 17 Auditoría de certificación
El tipo de preguntas que se hagan deben ser abiertas de forma que el auditado
tenga que explicar ampliamente cómo realiza las diferentes acciones. Sólo pa-
ra verificar aspectos muy concretos pueden hacerse preguntas cerradas cuya
respuesta sea un "sí" o un "no".
Otro tipo de preguntas son las dirigidas, que buscan respuestas rápidas por
parte del auditado: se le guía en la respuesta.
Otros tipos de preguntas
Las siguientes son otros tipos de preguntas que se pueden hacer:
• Preguntas de opinión• Preguntas de investigación• Preguntas no-verbales (lenguaje corporal)• Preguntas repetidas• Preguntas sobre situaciones hipotéticas
El objetivo de las entrevistas es extraer todas las evidencias necesarias
para verificar que la documentación entregada al auditor en la primera
fase refleja cómo está actuando la organización.
Cierre de la auditoría
Al final de la auditoría, el equipo auditor debe mantener una reunión con el
solicitante para:
• Agradecer su colaboración.
• Recordar nuevamente el objetivo y alcance de la auditoría.
• Dar un resumen del resultado de la auditoría.
• Informar de las recomendaciones que va a dar el equipo de auditoría.
• Preguntar si el solicitante tiene alguna cuestión que quiera aclarar.
• Recoger la conformidad del solicitante.
• Cerrar la auditoría.
Las conclusiones y el informe de auditoría deberán basarse en:
• Las dos etapas de la auditoría conjuntamente.
• Las no conformidades encontradas.
• La documentación, implantación y efectividad del SGSI.
• Las fortalezas y debilidades de los departamentos respecto de las secciones
de la norma ISO/IEC 17799:2005.
• El compromiso de la dirección con la mejora continua.
Ejemplos de preguntas
• ¿Quién (lo hace)?• ¿Cada cuánto (se hace)?• ¿Cómo (se hace)? Muéstre-
melo• ¿Dónde (se hace)? Mués-
tremelo• ¿Cuándo (se hace)?
© FUOC • XP07/92089/00001 18 Auditoría de certificación
En este punto, al igual que al final de la primera fase de la auditoría se pueden
producir tres decisiones:
• El�auditor�detecta�grandes�no�conformidades.�En este caso, el auditor
rechaza la certificación. Informa de las no conformidades graves que justi-
fica el rechazo. Propone a la empresa auditada que mejore la implantación
del SGSI y que pasado un tiempo vuelva a requerir el proceso de auditoría.
• El�auditor�detecta�no�conformidades�menores.�En este caso, el auditor
solicita a la organización auditada que proponga una serie de soluciones
para estas no conformidades. Será el auditor quien se encargue de decidir
si estas soluciones previstas solucionarían las no conformidades.
El auditado tendrá que proponer no sólo la solución, sino también un
tiempo en el que se resolverá la no conformidad.
En el caso de que el auditor rechace estas soluciones, se le indicará que
tendrá que volver a solicitar la auditoría. En el caso de que las soluciones
que plantea la organización sean aceptadas, el auditor procederá a requerir
el paso nuevamente a la segunda fase de la auditoría.
• El�auditor�no�detecta�no�conformidades.�En este caso, el auditor propone
la concesión de la certificación a la organización.
En función de lo anterior el equipo auditor debe emitir la recomendación:
• Se recomienda el registro si se considera que el SGSI es conforme con la
norma.
• Se recomienda revisión a la espera de recibir un plan aceptable de acciones
correctoras en el caso de que se hayan encontrado no conformidades.
• Se recomienda volver a auditar parcialmente el SGSI si se han encontrado
no conformidades mayores en un área concreta.
• Se recomienda volver a auditar si se han encontrado no conformidades
mayores en más de un área.
La decisión de la certificación la toma el Comité de Certificación, que
se basará en la información recogida durante las dos etapas del proceso
de auditoría. Los miembros del Comité de Certificación pertenecen a la
organización auditora, pero los integrantes del equipo auditor no pue-
den participar en la toma de decisión final.
En el caso de que la recomendación realizada por el equipo de auditoría
sea el rechazo de la certificación, el Comité de Certificación no deberá
cambiar su criterio; en cambio, si la recomendación es la aprobación de
la certificación, el Comité puede denegarla.
© FUOC • XP07/92089/00001 19 Auditoría de certificación
En caso de que se emita el certificado, la entidad remitirá al solicitante una
carta o diploma indicando como mínimo:
• Nombre y dirección de la organización
• Alcance de la certificación
• Fecha de emisión del certificado y su periodo de validez
• Versión de la declaración de aplicabilidad
Una vez que se ha obtenido la certificación, se entregará el certificado y
se entrará en un ciclo de revisión de la certificación: de forma anual se
realizará una auditoría parcial (seleccionando controles concretos). Esta
certificación estará vigente durante 3 años.
En el caso de que durante una de las revisiones el auditor detecte que existen
graves problemas de seguridad o no conformidades importantes, puede llegar
a retirar el certificado.