Brochures

Accredited vs. Non-Accredited ISO 27001 Certification

Zertia Team · 5 min read
Share

ISO 27001 lleva dos décadas en el mercado. La norma se conoce bien. El mercado está maduro. Y sin embargo, cuando un equipo de compras o un regulador evalúa el certificado de un proveedor, una parte importante de lo que le presentan resulta ser algo distinto de lo que el comprador asumía.

La diferencia cabe en una sola palabra: acreditado. En un mercado commodity, esa palabra es lo que separa un certificado defendible de un papel decorativo.

## La creencia habitual

La mayoría de organizaciones asume que ISO 27001 es ISO 27001. Un logo en la pared, un PDF en el portal del proveedor, la firma de un auditor. Si un organismo de certificación lo emitió, vale.

Esa asunción funcionaba en los primeros años de la norma. Ya no. El mercado de certificación en seguridad de la información se ha fragmentado en dos niveles, acreditado y no acreditado, y la distinción se ha vuelto material.

## Dónde está el problema real

ISO 27001 es una norma pública. Cualquier empresa con una web puede presentarse como “proveedor de certificación ISO 27001”. Nada lo impide. Lo que distingue a un organismo de certificación acreditado de uno no acreditado es la supervisión. Los organismos acreditados operan bajo ISO/IEC 17021-1, la norma internacional que regula cómo trabajan los organismos de certificación, y son auditados periódicamente por organismos nacionales de acreditación como ANAB (EE. UU.), UKAS (Reino Unido), ENAC (España) o DAkkS (Alemania).

Los certificadores no acreditados operan fuera de esa supervisión. Puede que sigan la norma con rigor, o puede que no. El comprador no puede distinguirlo desde el propio certificado, y ese es precisamente el problema.

> Un certificado ISO 27001 no acreditado es un documento firmado por una empresa privada. Un certificado acreditado es un documento firmado por una empresa cuya competencia verifica, cada año, una autoridad nacional.
>

## Dónde importa comercialmente

Tres situaciones concretas donde la distinción se vuelve cara:

### 1. Procurement corporativo

Los cuestionarios modernos de proveedores en instituciones financieras, organizaciones sanitarias y compradores del sector público piden cada vez más la evidencia de acreditación, no solo el certificado. La pregunta “¿qué organismo de acreditación emitió la acreditación de vuestro certificador?” cierra o abre el deal.

### 2. Contratos internacionales

Los certificados viajan a través de acuerdos entre organismos de acreditación. El Multilateral Recognition Arrangement del International Accreditation Forum (IAF MLA) es la red que hace que un certificado respaldado por ANAB sea reconocible en España, y un certificado respaldado por UKAS sea reconocible en Japón. Fuera de esa red, los certificados se detienen en la frontera.

### 3. Due diligence de M&A e inversores

Cuando una firma compradora o un inversor hace due diligence de seguridad, la cadena de acreditación queda documentada. Un certificado no acreditado genera fricción precisamente en el momento en que el vendedor tiene menos margen para explicarla.

## Replanteando la pregunta

La pregunta que hay que hacerse no es “¿Estamos certificados en ISO 27001?”. La pregunta es “¿Nuestro certificado está respaldado por un organismo de acreditación reconocido cuya marca viaja a donde están nuestros clientes, reguladores e inversores?”.

Para la mayoría de organizaciones hoy, la respuesta honesta a la primera pregunta es sí y la respuesta honesta a la segunda es poco clara. Esa falta de claridad es lo que hace que los certificados fallen en los momentos comerciales.

## El cambio estructural

Cuando ISO 27001 era joven, el mercado premiaba la adopción en sí. Cualquier certificado era señal de que la organización se había tomado en serio la seguridad de la información. Veinte años después, la certificación se ha vuelto mesa de entrada. La señal ha pasado de “¿te certificaste?” a “¿qué defendible es tu certificado?”.

Ese cambio es por lo que la acreditación se ha vuelto un diferenciador. En un mercado saturado, procurement, legal y el lado regulatorio comprimen tiempos de evaluación buscando marcadores de credibilidad. La acreditación es el más eficiente.

## Qué significa esto para tu organización

Comprueba la acreditación, no solo el certificado. Pide al organismo de certificación actual o prospecto su certificado de acreditación. Verifica el alcance en el registro público del organismo de acreditación (ANAB, UKAS, ENAC, DAkkS). Un certificado 27001 emitido por un organismo no acreditado para 27001 no está acreditado para 27001, independientemente de la marca.

Entiende dónde están tus clientes. Si tus compradores, reguladores o inversores operan en regiones fuera de la acreditación principal de tu organismo certificador, comprueba la cobertura de la red IAF MLA antes de comprometerte.

Trata el esquema como no opcional. ISO/IEC 17021-1 es la norma de esquema. Un certificador incapaz de describir cómo opera bajo ella no está operando bajo ella.

> En un mercado commodity, la acreditación es lo que impide que la commodity valga cero.
>

¿Listo para pasar de la documentación a la certificación?

Habla con un auditor acreditado por ANAB sobre tu SGSI.

📩 [[email protected]](mailto:[email protected]) · 🌐 [zertia.ai](http://zertia.ai)

Zertia es un organismo de evaluación de la conformidad acreditado por ANAB (EE. UU.). Acreditaciones UKAS (Reino Unido) y ENAC (UE) en proceso.

Your fast track to compliance starts here

Our team is ready to support your compliance, cybersecurity, and privacy needs. Complete the contact form or reach out to [email protected], and our experts will guide you through the next steps.