Certificación ISO/IEC 27001:2022

ENAC es la Entidad Nacional de Acreditación en España. Evalúa de forma independiente la competencia técnica e imparcialidad de los organismos de certificación. Es signataria de los acuerdos multilaterales de EA, ILAC e IAF, por lo que los certificados emitidos por organismos acreditados por ENAC gozan de reconocimiento internacional. La vigencia de nuestra acreditación (ENAC Nº 60/C-SG131) y su anexo técnico puede confirmarse públicamente en ENAC. ¿Qué implica para tu empresa? Menos fricción en licitaciones y homologaciones, y confianza adicional ante clientes y reguladores, al tratarse de un certificado emitido por un organismo con competencia demostrada y trazabilidad pública.

La edición 2022 alinea 27001 con 27002:2022 y actualiza el Anexo A: los controles pasan a 93 y se agrupan en 4 temas (organizacionales, de personas, físicos y tecnológicos). Se incorpora la planificación de cambios (6.3) para gestionar de forma controlada las modificaciones del SGSI. Se refuerza el vínculo riesgo–control–SoA (cada control debe justificarse) y se clarifica el seguimiento y medición del desempeño. En la práctica, hay más foco en evidencia de eficacia (datos, pruebas y resultados), mejor alineación con escenarios cloud/DevSecOps y continuidad, y mayor facilidad para integrar el SGSI con otros sistemas (9001, 14001, 45001, 37001, 50001) gracias al Anexo SL.

1. Solicitud y alcance: definimos procesos, sedes, sistemas y proveedores incluidos.
2. Etapa 1 (readiness): revisión del diseño del SGSI: alcance, riesgos, SoA 2022, auditoría interna, revisión por la dirección y planificación de cambios.
3. Etapa 2 (certificación): verificación en operación y eficacia de controles (entrevistas, evidencias y pruebas muestrales).
4. Decisión: un comité independiente decide en base al expediente. Si hay no conformidades, se corrigen y se demuestra eficacia.
5. Seguimientos: anuales, para mantener el certificado y la mejora continua.

Recertificación: al cierre del 3er año, evaluación global y nuevo ciclo.
Certhia emite certificados como organismo acreditado por ENAC; la vigencia puede confirmarse en ENAC.

Etapa 1 confirma que tu SGSI está listo para la certificación. El auditor revisa:

• Alcance definido y límites claros.
• Contexto, partes interesadas y requisitos legales/regulatorios.
• Metodología de riesgos y criterios de aceptación.
• SoA (2022) actualizada, con controles justificados por riesgo.
• Evidencias base: auditoría interna y revisión por la dirección recientes, objetivos e indicadores.
• Planificación de cambios (6.3) y estado de implantación de controles críticos.

Logística para Etapa 2 (entrevistas, accesos, sedes).
El resultado es un informe con hallazgos (si los hay) y condiciones para avanzar con garantías.

Suelen faltar o estar débiles:

• Restauraciones de backup probadas y registradas.
• Gestión de vulnerabilidades/parches con SLA y cierres verificables.
• Revisión de accesos y privilegios (altas/bajas/cambios, MFA).
• Monitoreo y respuesta a incidentes (tickets, análisis y lecciones).
• Controles de nube (configuración segura, cifrado, responsabilidad compartida).
• Continuidad (pruebas de recuperación y resultados).
• Acciones de auditoría interna cerradas y eficacia demostrada.
• Protección de datos personales integrada al SGSI.
  El patrón: pasar de “documentos existen” a “controles funcionan”, con evidencias trazables.

La duración real la marcan: alcance (procesos/sedes/sistemas), número de personas involucradas, criticidad TI, maturity del SGSI y disponibilidad de evidencias.
Acelera: alcance claro, SoA 2022 robusta, auditoría interna reciente, evidencias ordenadas, responsables disponibles.
Ralentiza: brechas en controles, gestión de proveedores débil, evidencias dispersas o cambios de alcance de última hora.
En la propuesta fijamos jornadas de auditoría, modalidad (remota/híbrida/in situ) y calendario realista para minimizar impacto operativo.

Trabajamos con industria, servicios, salud, finanzas, retail, tecnología y sector público, entre otros. Adaptamos el plan a on-prem, cloud o híbridos, distintos marcos regulatorios y niveles de madurez de SGSI. El enfoque es riesgo-céntrico: priorizamos activos críticos, continuidad y terceros estratégicos según el sector, manteniendo un lenguaje claro para gerencias y equipos técnicos.

Sinergias típicas:

• Gobernanza: política, roles, objetivos, riesgos y control documental.
• Ciclo PDCA: auditoría interna, no conformidades, acciones, revisión por la dirección.
• Recursos: competencias, comunicación, compras/proveedores, medición.

Auditoría: planificar jornadas combinadas reduce impacto y duplicidades.
Resultado: un sistema integrado más eficiente, con reporting unificado a gerencia y mejor trazabilidad de decisiones.

• Due diligence y clasificación por criticidad.
• Contratos/SLAs: seguridad, confidencialidad, incidentes, subencargados, ubicación de datos.
• Nube: controles del cliente vs. del proveedor; configuración segura y cifrado.
• Monitoreo continuo: reportes, auditorías del proveedor, métricas y remediación.

Salidas/terminación: portabilidad y borrado seguro.
El auditor buscará evidencia de que elegiste, contrataste y supervisaste al proveedor con criterios de seguridad alineados a tus riesgos.

ISO/IEC 27001 establece un sistema de gestión que organiza políticas, controles y evidencias. Esto demuestra diligencia ante autoridades y clientes. Aun así, cada organización debe mapear y mantener requisitos legales/regulatorios (p. ej., protección de datos o normativa sectorial). El auditor verifica que ese mapeo existe, se actualiza y se evidencia su cumplimiento dentro del SGSI.

• Mayor: afecta la capacidad del SGSI para cumplir requisitos → requiere corrección y evidencia de control antes de conceder el certificado.
• Menor: desviación acotada → se acuerda plan y plazo de cierre.
• Observaciones/Oportunidades: no son incumplimientos, pero guían mejoras.
  El seguimiento verifica implementación y eficacia. La transparencia y los plazos realistas evitan reprocesos.

1. Medir: KPIs relevantes (parcheo, incidentes, tiempos de respuesta, restauraciones).
2. Auditar: auditoría interna basada en riesgo con planes de acción efectivos.
3. Revisión postincidente (lecciones aprendidas y análisis de causa raíz), análisis de tendencias e inteligencia de amenazas. 
4. Revisar: la dirección evalúa desempeño, riesgos y recursos.
5. Ajustar: actualizar análisis de riesgos, SoA y controles.
   Este ciclo mantiene la eficacia del SGSI entre auditorías externas.

Cambios típicos: nuevas sedes/países, procesos críticos, tecnología (p. ej., migración a cloud) o proveedores clave. Evaluamos impacto en riesgos y SoA, actualizamos plan de auditoría y, si procede, realizamos una auditoría específica (documental y/o in situ). El objetivo es mantener tu certificado alineado con la realidad operativa.

• Remoto: entrevistas, revisión documental y demostraciones técnicas.
• In situ: verificación física o procesos de alta sensibilidad operativa.
• Criterios: conectividad, herramientas seguras, control de versiones y screen-sharing con trazabilidad.
  Acordamos modalidad por etapa y por muestra, asegurando integridad de la información y eficiencia del proceso.

ENAC es signataria de los acuerdos multilaterales de EA (Europa), ILAC e IAF, lo que permite que los certificados emitidos bajo su acreditación sean aceptados internacionalmente (más de 100 economías), reduciendo la necesidad de auditorías duplicadas. La vigencia de nuestra acreditación (ENAC Nº 60/C-SG131) puede confirmarse públicamente en ENAC.