El Proceso de Certificación ISO 27001: Tiempo, Costes y Pasos
El Proceso de Certificación ISO 27001: Tiempo, Costes y Pasos
Así que ha decidido ir a por todas. Quiere el sello ISO 27001 en su sitio web. Pero, ¿cómo es el proceso real sobre el terreno? ¿Cuántas reuniones habrá? ¿Cuándo aparecen los auditores? Y lo más importante, ¿cuánto costará?
Vamos a descorrer el velo del viaje hacia la certificación.
Las Dos Etapas de la Auditoría de Certificación
La auditoría de certificación oficial se divide en dos fases distintas, llevadas a cabo por un Organismo de Certificación (OC) externo.
El camino hacia el cumplimiento
Obtener la certificación es un viaje que suele constar de 5 etapas clave. Aunque los plazos varían, contar con una hoja de ruta clara es esencial para el éxito del proyecto.
Etapa 1: Análisis de Brechas (Gap Analysis) y Alcance
A menudo se llama la auditoría de "Preparación para la Etapa 2". El auditor revisa la documentación de su SGSI (políticas, alcance, evaluación de riesgos) para asegurar que cumple con los requisitos del estándar sobre el papel.
- Objetivo: Identificar cualquier falta de conformidad mayor antes de la auditoría "real".
- Duración: Normalmente 1 o 2 días.
Etapa 2: Auditoría de Implementación
Esta es la importante. El auditor acude a sus instalaciones (o se une virtualmente) para ver si realmente está haciendo lo que sus documentos dicen que hace. Entrevistará al personal, revisará logs de servidores y observará sus procesos en acción.
- Objetivo: Verificar evidencias de implementación.
- Duración: De 2 a 5 días, dependiendo del tamaño de la empresa.
Cronograma: ¿Cuánto tiempo se tarda?
Para una PYME típica (20-100 empleados), el cronograma suele ser el siguiente:
- Preparación (Gap Analysis e Implementación): De 6 a 9 meses.
- Auditoría Interna: 1 mes antes de la auditoría de certificación.
- Auditoría Etapa 1: Mes 10.
- Auditoría Etapa 2: Mes 11 o 12.
- Certificado emitido: 4-6 semanas después de la Etapa 2.
El Ciclo de Certificación de 3 Años
Obtener la certificación no es un evento único. Es un compromiso de tres años:
- Año 1 (Certificación): Auditorías iniciales de Etapa 1 y Etapa 2.
- Año 2 (Vigilancia): Una auditoría de "seguimiento" más pequeña por parte del OC para asegurar que no se han relajado los procesos.
- Año 3 (Vigilancia): Otra auditoría de seguimiento.
- Año 4 (Recertificación): Una auditoría completa, similar a la Etapa 2, para renovar el certificado por otros 3 años.
¿Cuánto cuesta?
Aunque los costes varían según la región y el proveedor, generalmente debe presupuestar tres cosas:
- Honorarios de Consultoría: Para ayudarle a construir el SGSI (opcional pero recomendado).
- Esfuerzo Interno: El tiempo del personal dedicado al proyecto.
- Tasas de Certificación: Pagadas al Organismo de Certificación acreditado. Para una empresa pequeña, las tasas de certificación suelen oscilar entre 5.000 € y 15.000 € para el ciclo inicial de 3 años.
Auditorías Internas vs. Externas
- Auditoría Interna: El estándar le obliga a contratar a alguien (interno o externo) para auditar su propio sistema antes de que llegue el OC. Es un simulacro para encontrar errores a tiempo.
- Auditoría Externa: Es la auditoría oficial realizada por un Organismo de Certificación como BSI, SGS, Bureau Veritas o similares.
FAQ: Preguntas Frecuentes
¿Podemos fallar la auditoría?
Sí, pero la mayoría de los auditores le darán la oportunidad de corregir las "No Conformidades Menores" en un plazo determinado. Solo las "No Conformidades Mayores" impedirán que obtenga la certificación de inmediato.
¿Qué es una Auditoría de Vigilancia?
Piense en ella como una revisión de mantenimiento. Es más corta que la auditoría inicial y se centra en áreas específicas del SGSI para asegurar la mejora continua.
¿Tenemos que ser auditados todos los años?
Sí. Para mantener el certificado, debe someterse a una auditoría de vigilancia cada año hasta su recertificación a los 3 años.
Conclusión: Es un maratón, no un sprint
El proceso de certificación ISO 27001 es riguroso porque está diseñado para ser significativo. Aunque el camino parezca largo, la claridad y la confianza que genera con sus clientes valen cada paso.
No navegue solo por el laberinto de la certificación. Nuestros consultores tienen una tasa de éxito del 100% guiando a empresas a través de la Etapa 1 y la Etapa 2.