Folletos

Certificación ISO 27001 acreditada vs. no acreditada

Equipo Zertia · 5 min de lectura
Compartir

ISO 27001 lleva dos décadas en el mercado. El estándar es bien conocido. El mercado es maduro. Y sin embargo, cuando un equipo de compras o un regulador evalúa el certificado de un proveedor, una gran parte de lo que se presenta resulta ser algo diferente de lo que el comprador suponía.

La brecha reside en una sola palabra: acreditado. En un mercado de commodities, esa palabra es lo que separa un certificado defendible de un papel decorativo.

La creencia común

La mayoría de las organizaciones asumen que ISO 27001 es ISO 27001. Un logotipo en la pared, un PDF en el portal del proveedor, la firma de un auditor. Si lo emitió un organismo de certificación, vale.

Esa suposición funcionó en los primeros años del estándar. Ahora no funciona. El mercado de certificación en seguridad de la información se ha fragmentado en niveles acreditados y no acreditados, y la distinción se ha vuelto relevante.

Dónde vive el problema real

ISO 27001 es un estándar público. Cualquier empresa con un sitio web puede establecerse como «proveedor de certificación ISO 27001». Nada lo impide. Lo que distingue a un organismo de certificación acreditado de uno no acreditado es la supervisión. Los organismos acreditados operan bajo ISO/IEC 17021-1, el estándar internacional que regula cómo funcionan los organismos de certificación, y son auditados periódicamente por organismos nacionales de acreditación como ANAB (EE. UU.), UKAS (Reino Unido), ENAC (España) o DAkkS (Alemania).

Los certificadores no acreditados operan fuera de esa supervisión. Pueden seguir el estándar con cuidado, o pueden no hacerlo. El comprador no puede saberlo a partir del propio certificado, y ese es precisamente el problema.

Un certificado ISO 27001 no acreditado es un documento firmado por una empresa privada. Un certificado acreditado es un documento firmado por una empresa cuya competencia es verificada, cada año, por una autoridad nacional.

Dónde importa comercialmente

Tres situaciones concretas en las que la distinción se vuelve costosa:

1. Compras empresariales

Los cuestionarios modernos de proveedores de instituciones financieras, organizaciones sanitarias y compradores del sector público solicitan cada vez más evidencia de acreditación, no solo el certificado. La pregunta «¿qué organismo de acreditación acreditó a su certificador?» cierra o abre el trato.

2. Contratos transfronterizos

Los certificados circulan a través de los acuerdos entre organismos de acreditación. El Acuerdo de Reconocimiento Multilateral (IAF MLA) del Foro Internacional de Acreditación es la red que hace que un certificado respaldado por ANAB sea reconocible en España, y que un certificado respaldado por UKAS sea reconocible en Japón. Fuera de esa red, los certificados se detienen en la frontera.

3. Fusiones y adquisiciones y diligencia debida de inversores

Cuando una empresa compradora o un inversor realiza una diligencia debida en materia de seguridad, la cadena de acreditación queda documentada. Un certificado no acreditado genera fricciones precisamente en el momento en que el vendedor tiene menor capacidad de negociación para explicarse.

La pregunta que debe hacerse no es «¿Estamos certificados en ISO 27001?» La pregunta es «¿Está nuestro certificado respaldado por un organismo de acreditación reconocido cuyo sello llega adonde están nuestros clientes, reguladores e inversores?»

Para la mayoría de las organizaciones hoy en día, la respuesta honesta a la primera pregunta es sí, y la respuesta honesta a la segunda es poco clara. Esa falta de claridad es lo que hace que los certificados fallen en los momentos comerciales.

El cambio estructural

Cuando ISO 27001 era joven, el mercado premiaba la adopción en sí misma. Cualquier certificado era una señal de que la organización había reflexionado seriamente sobre la seguridad de la información. Veinte años después, la certificación se ha convertido en el mínimo exigible. La señal ha pasado de «¿se han certificado?» a «¿qué tan defendible es su certificado?»

Ese cambio es la razón por la que la acreditación se ha convertido en un diferenciador. En un mercado saturado, los departamentos de compras, legal y regulatorio comprimen el tiempo de evaluación buscando marcadores de credibilidad. La acreditación es el más eficiente de todos.

Qué significa esto para su organización

Verifique la acreditación, no solo el certificado. Solicite a su organismo de certificación actual o potencial su certificado de acreditación. Verifique el alcance en el registro público del organismo de acreditación (ANAB, UKAS, ENAC, DAkkS). Un certificado 27001 emitido por un organismo que no está acreditado para 27001 no está acreditado para 27001, independientemente de la marca.

Entienda dónde están sus clientes. Si sus compradores, reguladores o inversores operan en regiones fuera de la acreditación primaria de su organismo de certificación, verifique la cobertura de la red IAF MLA antes de comprometerse.

Trate el esquema como no opcional. ISO/IEC 17021-1 es el estándar del esquema. Un certificador que no puede describir cómo opera bajo él no está operando bajo él.

En un mercado de commodities, la acreditación es lo que impide que el commodity carezca de valor.

¿Listo para pasar de la documentación a la certificación?

Hable con un auditor acreditado por ANAB sobre su SGSI.

📩 [email protected] · 🌐 zertia.ai

Zertia es un organismo de evaluación de la conformidad acreditado por ANAB (EE. UU.). Las acreditaciones de UKAS (Reino Unido) y ENAC (UE) están en proceso.

Tu vía rápida al cumplimiento comienza aquí

Nuestro equipo está listo para apoyarte en cumplimiento normativo, ciberseguridad y privacidad. Completa el formulario de contacto o escríbenos a [email protected], y nuestros expertos te guiarán en los próximos pasos.