SECURITY STANDARD. Guía para la certificación en el Estándar de Control de Seguridad de la WLA. Sustainability. Professionalism RESPONSIBILITY

Transcripción

1 Professionalism SECURITY STANDARD RESPONSIBILITY Sustainability Guía para la certificación en el Estándar de Control de Seguridad de la WLA Directrices para la certificación de miembros de la WLA Directrices para la acreditación de auditores de certificación Documentación para la auditoría de certificación Edición abril 2011

2

3 Índice Prólogo 4 Definiciones 6 Parte A Directrices para la certificación de miembros de la WLA 1. Introducción 8 2. Visión general del proceso de certificación en el ECS de la WLA 9 3. Certificación ISO/ IEC 27001: Certificación ECS de la WLA Auditores de certificación acreditados por el CSGR de la WLA Comité de Seguridad y Gestión de Riesgos de la WLA Miembros certificados en el ECS de la WLA 15 Parte B Directrices para la acreditación de auditores de certificación 1. Afiliación de auditores y entidades certificadoras Cómo calificar como auditor de certificación aprobado por el CSGR de la WLA Cómo calificar como entidad certificadora aprobada por la WLA 19 Parte C Documentación para la auditoría de certificación 1. Requisitos de documentación para auditorías de certificación Formulario de declaración de auditoría de certificación Formulario de evaluación de auditoría de certificación Informe detallado de la auditoría de certificación 29 Bibliografía 30

4 Prólogo La World Lottery Association (WLA) es una organización internacional que representa a 142 loterías y 60 proveedores de loterías provenientes de 90 países en los cinco continentes (cifras de agosto de 2010). Las loterías miembros deben estar licenciadas o autorizadas por la jurisdicción en la que operan para conducir loterías y/o actividades de apuestas deportivas. La WLA ofrece una gama de servicios a sus miembros que les proporciona los conocimientos necesarios para ayudarles a hacer crecer sus empresas de manera individual. El Comité de Seguridad y Gestión de Riesgos de la WLA (CSGR de la WLA) está formado por representantes y especialistas en materia de seguridad de diferentes loterías en el mundo. La misión del CSGR de la WLA es asesorar a la WLA y a sus miembros en lo que respecta a seguridad y gestión de riesgos. Por más de una década, el CSGR de la WLA ha desarrollado y mantenido una norma de seguridad especialmente concebida para las loterías conocida como el Estándar de Control de Seguridad de la WLA (ECS de la WLA). El desarrollo de esta norma es producto de un enfoque de cooperación y consenso y está disponible solo para miembros de la WLA que estén en conformidad con los estatutos de la WLA. En la parte A, sección 6, página 14, está disponible una lista de miembros del CSGR de la WLA. El ECS de la WLA es la única norma de seguridad de la industria de la lotería internacionalmente reconocida. Se basa en la ISO/IEC 27001:2005, una norma internacional líder en materia de gestión de seguridad de la información. El ECS de la WLA está dividido en dos partes: la primera parte del ECS de la WLA (ECS de la WLA:2006, parte A Requisitos generales de seguridad) incorpora la norma ISO/IEC 27001:2005, con otros 24 controles de seguridad general contiguos; la segunda parte del ECS de la WLA (ECS de la WLA:2006, parte B Controles de seguridad específicos para las loterías) proporciona 72 controles de seguridad adicionales específicos para las loterías que representan las mejores prácticas actuales en lo que se refiere a seguridad. En Toto, el ECS de la WLA especifica los requerimientos mínimos para el manejo efectivo de la seguridad en las loterías. El cumplimiento del ECS de la WLA le permite a la lotería garantizar la integridad, disponibilidad y confidencialidad de la información, vital para su funcionamiento seguro. Para mayor información sobre el ECS de la WLA, por favor consulte el manual del ECS de la WLA. Los miembros de la WLA pueden obtener una copia en la página Web de la WLA La WLA se esfuerza continuamente por ayudar a sus miembros a mostrar un alto nivel de integridad al certificarse en el ECS de la WLA. El nuevo proceso de certificación en el ECS de la WLA descrito en esta guía hace que la certificación sea más accesible para todos los miembros al racionalizar el proceso. Los factores claves que distinguen el nuevo proceso de certificación en el ECS de la WLA del anterior incluyen: La separación de la certificación ISO/ IEC 27001:2005 del proceso de certificación en el ECS de la WLA. Los miembros de la WLA que deseen certificarse en el ECS de la WLA pueden escoger auditores de la norma ISO/IEC 27001:2005, independientemente de los auditores del ECS de la WLA. Dado que los auditores y asesores de ISO/IEC 27001:2005 se encuentran en muchas regiones, esta separación da mayor flexibilidad a los miembros para que puedan escoger auditores en cualquier parte del mundo. La apertura del proceso de acreditación de auditores de certificación en el ECS de la WLA. Los auditores de certificación del ECS de la WLA pueden ser seleccionados de una lista de auditores de certificación acreditados por el CSGR de la WLA, o alternativamente, los miembros de la WLA pueden recomendar nuevos auditores de certificación. Con la finalidad de garantizar la continua integridad de la certificación en el ECS de la WLA, los auditores de certificación recomendados deben cumplir con los estrictos requerimientos mínimos antes de que se les otorgue la aprobación para 4

5 realizar certificaciones en el ECS de la WLA. La regulación más estricta de las certificaciones en el ECS de la WLA. Ahora, todas las certificaciones en el ECS de la WLA deben ser realizadas por un auditor de certificación acreditado por el CSGR de la WLA. Dicho auditor puede ser un empleado, agente o subcontratista de una entidad certificadora que ha llegado a un acuerdo con la WLA para prestar servicios de certificación. Además, el certificado del ECS de la WLA es emitido ahora por la WLA directamente, y no por la entidad o el auditor certificador. Al elaborar este documento y ponerlo a la disposición de sus miembros, la WLA pretende fomentar una mayor comprensión del ECS de la WLA y del proceso de certificación. Es nuestro deseo que con una mejor comprensión más miembros deseen presentar su solicitud para certificarse en el ECS de la WLA, aumentando así el nivel general de seguridad dentro de la comunidad mundial de loterías. Este documento está dirigido a: Miembros y miembros asociados de la WLA que deseen certificarse en el ECS de la WLA:2006. Profesionales calificados que deseen ser reconocidos como auditores de certificación del ECS de la WLA:2006. Auditores de certificación del ECS de la WLA:2006 que deseen llevar a cabo el proceso de certificación de los miembros y miembros asociados de la WLA que quieran presentar una solicitud para certificarse en el ECS de la WLA:2006. Para las organizaciones que desean certificarse en el ECS de la WLA:2006, este documento: Explica cómo funciona el proceso de certificación y cómo puede presentar una solicitud. Le ayuda a seleccionar un auditor de certificación o una entidad certificadora. Para los profesionales calificados que desean ser reconocidos como auditores de certificación del ECS de la WLA:2006, este documento: Explica detalladamente cómo los profesionales calificados pueden presentar una solicitud ante el CSGR de la WLA con la finalidad de ser acreditados para realizar auditorías de certificación en el ECS de la WLA. Este documento está organizado de la siguiente manera: Parte A Directrices para la certificación de miembros de la WLA En esta parte se describe detalladamente el proceso de certificación en el ECS de la WLA y está especialmente dirigida a miembros y miembros asociados de la WLA que desean certificarse en el ECS de la WLA. Parte B Directrices para la acreditación de auditores de certificación En esta parte se presentan las pautas que se deben seguir a fin de ser acreditado para realizar certificaciones en el ECS de la WLA y está especialmente dirigida a las organizaciones y profesionales calificados que desean ser acreditados para llevar a cabo procesos de certificación en el ECS de la WLA. Parte C Documentación para la auditoría de certificación En esta parte se presenta la documentación de auditoría necesaria para los auditores de certificación que realicen certificaciones en el ECS de la WLA y está especialmente dirigida a auditores de certificación que estén actualmente realizando certificaciones en el ECS de la WLA. 5

6 Definiciones A los efectos de este documento, se aplican los siguientes términos y definiciones: 1.1 Organización de lotería miembro Se refiere a una organización de lotería que ha sido debidamente aprobada como miembro de la WLA, de acuerdo con los estatutos de la WLA. Conduce juegos de azar y/o de habilidad tales como: loto, toto, juegos instantáneos, apuestas deportivas y juegos de lotería clásicos. Los miembros están autorizados o licenciados por una jurisdicción domiciliada en un Estado reconocido como tal por las Naciones Unidas. 1.2 Miembro asociado Se refiere a una persona u organización que provee bienes y servicios a la industria de la lotería y ha sido debidamente aprobada como miembro de la WLA, de acuerdo con los estatutos de la WLA. La solicitud de estas personas u organizaciones para convertirse en miembros asociados ha sido respaldada por al menos dos miembros actuales de la WLA y han sido aceptadas por el Comité Ejecutivo de la WLA. 1.3 Miembro de la WLA Se refiere a una organización de lotería miembro y a un miembro asociado tal como se define en los puntos 1.1 y 1.2, donde ambos están implicados en el contexto. 1.4 ECS de la WLA Se refiere al Estándar de Control de Seguridad de la WLA, un conjunto integral de normas de seguridad especialmente elaboradas para la industria de la lotería que incluye la norma ISO/IEC 27001:2005, complementadas por un grupo de controles de seguridad generales y específicos al sector de la lotería que han sido establecidos por la WLA, ya que pueden ser modificados de vez en cuando. 1.5 CSGR de la WLA Se refiere al Comité de Seguridad y Gestión de Riesgos de la WLA, un grupo de profesionales de la industria de la lotería expertos en materia de seguridad y designados por el Comité Ejecutivo de la WLA para establecer y mantener el ECS de la WLA y para monitorear el proceso de selección de los auditores de certificación. 1.6 Autoridad certificadora Se refiere a la WLA. 1.7 Entidad certificadora Se refiere a una tercera parte que presta servicios de certificación a miembros de la WLA. Para poder ofrecer estos servicios, la entidad en cuestión debe llegar a un acuerdo con la WLA. Los auditores que trabajan como contratistas independientes son considerados también entidades certificadoras. Estas personas deberán ser aprobadas como auditores de certificación por el CSGR de la WLA, además de firmar un acuerdo con la WLA. 1.8 Acuerdo para prestar servicios de certificación Se refiere a un acuerdo no-comercial al que han llegado la WLA y la entidad certificadora para brindar servicios a los miembros de la WLA que deseen certificarse en el ECS de la WLA. 1.9 Auditor de certificación Se refiere a la persona empleada por una entidad que presta servicios de certificación para realizar la auditoría de certificación en el ECS de la WLA. El auditor de certificación debe primero ser acreditado por el CSGR de la WLA Servicios de evaluación previa Se refiere a una auditoría simple en la que se evalúan los principales elementos del sistema de control de seguridad de un miembro de la WLA con respecto al estándar, pero sin verificar a fondo su implementación Proceso de certificación Se refiere al proceso de evaluación realizado por un auditor de certificación acreditado por el CSGR de la WLA para determinar el cumplimiento con el ECS de la WLA. El auditor de certificación debe ser empleado de una entidad certificadora que previamente ha firmado un acuerdo con la WLA Formulario de declaración de auditoría de certificación Se refiere a un documento emitido por la entidad certificadora en el que informa a la WLA su intención de asumir el proceso de certificación de un miembro de la WLA Formulario de evaluación de auditoría de certificación Se refiere a un documento emitido por la entidad certificadora en el que describe los elementos que fueron auditados y los que no fueron aplicables, además de emitir sus recomendaciones con respecto a la certificación o recertificación Informe de auditoría de certificación Se refiere a un documento que la entidad certificadora autorizada por la WLA emite para el miembro de la WLA en el que describe la evaluación realizada y los resultados obtenidos durante el proceso 6

7 de certificación o recertificación. Este documento es propiedad del miembro de la WLA y se considerará estrictamente confidencial Certificado Se refiere al documento que da fe del cumplimiento con el ECS de la WLA por parte del miembro de la WLA en la fecha de su certificación. El certificado es válido por tres años Certificado en el ECS de la WLA Se refiere al miembro de la WLA que ha sido sometido a un proceso de evaluación y que, para ese momento, cumplía con los requerimientos del ECS de la WLA Auditoría anual Se refiere a una auditoría anual que debe ser realizada por un auditor de certificación acreditado por el CSGR de la WLA con la finalidad de ayudar a que el miembro de la WLA siga cumpliendo con el ECS de la WLA durante el periodo de tres años entre la certificación y la recertificación. Al finalizar la auditoría de certificación, el auditor de certificación propondrá un calendario para las auditorías anuales. Sin embargo, la decisión de seguirlo o no queda a discreción del miembro de la WLA Recertificación Se refiere a otro proceso de evaluación completo realizado por un auditor de certificación acreditado por el CSGR de la WLA para realizar la certificación de un miembro de la WLA, luego del vencimiento del primer periodo de tres años de validez, a fin de determinar el cumplimiento con el ECS de la WLA y posteriormente cada tres años. Certificado del Estándar de Control de Seguridad de la WLA. 7

8 Parte A Directrices para la certificación de los miembros de la WLA 1. Introducción 1.1 Antecedentes La seguridad de una lotería juega un papel fundamental en el mantenimiento de la confianza del público en sus juegos de lotería. Por lo tanto, es esencial que una organización de lotería desarrolle y mantenga un entorno de seguridad visible y documentado con el fin de ganarse y mantener la confianza del público en sus operaciones. El ECS de la WLA es la única norma de seguridad de la industria de la lotería internacionalmente reconocida. Es una referencia en gestión de seguridad de la información que une la norma ISO/IEC 27001:2005, una norma internacional líder en materia de gestión de seguridad de la información, con controles de seguridad adicionales específicos del sector de la lotería que representan las mejores prácticas actuales. El ECS de la WLA ha sido diseñado para ayudar a las loterías del mundo a obtener un nivel de controles de seguridad que se alinee con lo que generalmente es aceptado como mejores prácticas para lograr una mayor confianza en la integridad de las operaciones de lotería. El ECS de la WLA especifica las prácticas que se requieren para tener una estructura de gestión de seguridad efectiva a través de la cual una lotería pueda mantener la integridad, disponibilidad y confidencialidad de la información, vital para su funcionamiento seguro. Solo la WLA puede formalmente certificar que una organización está cumpliendo con el ECS de la WLA. Así pues, los auditores de certificación acreditados por el CSGR de la WLA, que son empleados, agentes o subcontratistas de una entidad certificadora específica aprobada por la WLA, están autorizados para realizar auditorías de certificación a miembros de la WLA que deseen certificar sus operaciones en el ECS de la WLA. Se puede obtener certificación al estar conforme con los requerimientos del ECS de la WLA al momento de realizarse la evaluación real. Esta certificación permite que los miembros de la WLA confirmen su cumplimiento con el ECS de la WLA por un periodo continuo de tres años. 1.2 Sobre este documento El proceso de certificación en el ECS de la WLA:2006 ha cambiado significativamente desde la V1.0. El proceso de certificación en el ECS de la WLA:2006 actualizado: Disocia la certificación ISO/IEC 27001:2005 de la certificación en el ECS de la WLA. La certificación ISO/IEC 27001:2005 puede ahora realizarse independientemente de la certificación en el ECS de la WLA:2006. Aumenta la flexibilidad para que los miembros de la WLA puedan escoger los auditores de certificación del ECS de la WLA. Los miembros de la WLA pueden ahora escoger el auditor de certificación que prefieran, siempre y cuando éste cumpla con los requerimientos de acreditación del CSGR de la WLA. Establece una regulación más estricta en lo que se refiere a las certificaciones en el ECS de la WLA. Todas las certificaciones de la WLA deben ser realizadas por un auditor de certificación acreditado por el CSGR de la WLA que es un empleado, agente o subcontratista de una entidad certificadora aprobada por la WLA, es decir, una entidad certificadora que ha llegado a un acuerdo con la WLA para prestar servicios de certificación. Las directrices de certificación inscritas en este documento describen los nuevos procedimientos y políticas que deben seguir: Los miembros de la WLA que desean certificarse en el ECS de la WLA Los auditores de certificación que están realizando certificaciones en el ECS de la WLA, y Los profesionales calificados que desean acreditarse como auditores de certificación ante el CSGR de la WLA. Las directrices de certificación descritas en este documento presuponen que se tiene cierta familiarización con el ECS de la WLA. Para mayor información, favor consultar la documentación del ECS de la WLA. Los miembros de la WLA pueden obtener una copia de este documento en la página Web de la WLA www. world-lotteries.org. 1.3 Responsabilidades del miembro de la WLA interesado El miembro de la WLA que se somete al proceso de certificación o recertificación reconoce que: i. Acepta el ECS de la WLA, tal como está redactado al momento de la certificación o recertificación. ii. La certificación o recertificación en el ECS a) Solo da fe de la existencia de un conjunto de procedimientos de seguridad que, en el momento de la certificación, corresponden al objetivo de manejar los riesgos inherentes asociados al funcionamiento de una organización de lotería, y b) No garantiza de ninguna manera los resultados obtenidos en las materias que tratan. iii. Es el único responsable de la elección de los métodos y procedimientos que utiliza para hacer operativo el ECS, y que en este 8

9 sentido, la WLA, la entidad certificadora y el auditor de certificación no son de ninguna manera responsables de reclamo(s) y daño(s). iv. Es su responsabilidad facilitar la información pertinente a la entidad certificadora y al auditor de certificación de manera oportuna. Acepta también que debe proveer la asistencia necesaria y que debe notificar a la entidad certificadora y al auditor de certificación cualquier cambio en la información que les ha suministrado. v. Solo usará la certificación del ECS de la WLA en conformidad con los requerimientos de la WLA. 1.4 Cambios Este documento comprende la versión V1.0 de las directrices de certificación del ECS de la WLA. 2. Visión general del proceso de certificación en el ECS de la WLA Debido a la flexibilidad del proceso de certificación en el ECS de la WLA, éste puede hacerse de varias maneras. Sin embargo, en líneas generales, el proceso de certificación presenta la siguiente secuencia de eventos: 1. Antes de la auditoría de certificación, el miembro de la WLA se prepara para someterse al proceso. En este sentido, el miembro de la WLA: a. Notifica a la WLA su intención de certificarse en el ECS de la WLA. b. Realiza un análisis de brechas, si es necesario, para determinar cualquier discrepancia entre sus sistemas de seguridad actuales y los requerimientos de la norma ISO/IEC 27001:2005 y del ECS de la WLA. Para mayor información sobre cómo prepararse para una auditoría de certificación, consulte la parte A, sección 4.1, página El miembro de la WLA selecciona a una entidad certificadora debidamente aprobada por la WLA que ofrezca servicios de certificación en el ECS de la WLA. En la parte A, sección 5, página 13, podrá encontrar una lista de entidades certificadoras aprobadas por la WLA. Para mayor información sobre cómo seleccionar una entidad certificadora, consulte la parte A, sección 4.2, página El miembro de la WLA selecciona a un auditor de certificación acreditado por el CSGR de la WLA que es un empleado, agente o subcontratista de la entidad certificadora aprobada por la WLA que fue seleccionada por el miembro de la WLA. En la parte A, sección 5, página 13, podrá encontrar una lista de auditores de certificación acreditados por el CSGR de la WLA. Alternativamente, el miembro de la WLA podría recomendar a un profesional calificado para que sea acreditado como auditor de certificación por el CSGR de la WLA. Este individuo debe ser un empleado, agente o subcontratista de una entidad certificadora aprobada por la WLA y solo podrá realizar la auditoría de certificación una vez sea acreditado por el CSGR de la WLA. Para mayor información sobre cómo seleccionar a un auditor de certificación, consulte la parte A, sección 4.3, página Se realiza la auditoría de certificación. El auditor de certificación: a. Llena el formulario de declaración de auditoría en el que le notifica a la WLA su intención de realizar una auditoría de certificación al miembro de la WLA. b. Realiza la auditoría de certificación. La auditoría ISO/IEC 27001:2005 es independiente de la auditoría de certificación en el ECS de la WLA y puede ser realizada en paralelo, o por separado, antes de la auditoría de certificación en el ECS de la WLA. En todo caso, el miembro de la WLA debe estar certificado en la norma ISO/IEC 27001:2005 para poder certificarse en el ECS de la WLA. Para mayor información sobre la auditoría ISO/IEC 27001:2005 como componente de la auditoría de certificación en el ECS de la WLA, consulte la parte A, sección 3, página 10. Para mayor información sobre cómo realizar una auditoría de certificación, consulte la parte A, sección 4.4, página Al finalizar la auditoría de certificación, el auditor de certificación: a. Realiza un informe detallado sobre la auditoría de certificación y lo remite al miembro de la WLA. El informe documenta la auditoría de certificación y sus resultados y es confidencial al miembro de la WLA. b. Llena el formulario de evaluación de auditoría de certificación y lo remite a la WLA, quien a su vez otorga o niega la certificación basándose en el contenido de la evaluación de auditoría de certificación que le ha sido remitido. Para mayor información sobre auditoría de certificación finalizada, 9

10 Parte A Directrices para la certificación de los miembros de la WLA consulte la parte A, sección 4.5, página Cuando la WLA otorga la certificación, publica los resultados y emite un certificado en el que consta que el miembro de la WLA está certificado en el ECS de la WLA. Para mayor información sobre el otorgamiento de certificación, consulte la parte A, sección 4.6, página Luego del otorgamiento de la certificación, se realizan auditorías anuales, a discreción del miembro de la WLA, para ayudarle a que siga cumpliendo con el ECS de la WLA. Para mayor información sobre las auditorías anuales, consulte la parte A, sección 4.7, página El miembro de la WLA puede certificarse nuevamente en el ECS de la WLA al repetir el proceso de certificación una vez expire el periodo de validez inicial de tres años. Para mayor información sobre la recertificación, consulte la parte A, sección 4.8, página La certificación ISO/IEC 27001:2005 El ECS de la WLA:2006 disocia la certificación ISO/IEC 27001:2005 de la certificación en el ECS de la WLA. Dado que ahora la certificación ISO/IEC 27001:2005 es independiente de la certificación ECS de la WLA, varias situaciones de certificación pueden surgir. Un miembro de la WLA podría: Tener una certificación ISO/IEC 27001:2005 vigente. En este caso, la certificación ISO/IEC 27001:2005 vigente podría usarse para cumplir con los requerimientos de la primera parte del ECS de la WLA (ECS de la WLA:2006, Parte A Requisitos generales de seguridad), siempre y cuando la certificación ISO/IEC 27001:2005 cumpla con los requisitos de alcance del ECS de la WLA. No tener una certificación ISO/IEC 27001:2005 vigente y desear llevar a cabo el proceso de certificación ISO/IEC 27001:2005 antes de someterse al proceso de certificación en el ECS de la WLA. En este caso, el miembro de la WLA podría considerar la certificación ISO/IEC 27001:2005 como un puente o trampolín para alcanzar la certificación en el ECS de la WLA. No tener una certificación ISO/IEC 27001:2005 vigente y desear llevar a cabo el proceso de certificación ISO/IEC 27001:2005 paralelamente al proceso de certificación en el ECS de la WLA, empleando auditores de certificación diferentes en los dos procesos de certificación. No tener una certificación ISO/IEC 27001:2005 vigente y desear llevar a cabo el proceso de certificación ISO/IEC 27001:2005 paralelamente al proceso de certificación en el ECS de la WLA, empleando el mismo auditor de certificación para ambas auditorías. En todos los casos, las auditorías de certificación ISO/IEC 27001:2005 de los miembros de la WLA deben ser realizadas por un auditor de la certificación ISO/IEC 27001:2005 acreditado por un ente certificador reconocido internacionalmente, esto según los reglamentos y regulaciones de la ISO/IEC 27001:2005. El auditor ISO/IEC 27001:2005 no necesariamente tiene que ser un auditor de certificación acreditado por el CSGR de la WLA. Como regla general, la WLA recomienda que la preparación para el ECS de la WLA se haga en paralelo con la de la ISO/IEC 27001:2005. En este caso, se espera que el auditor acreditado para realizar auditorías ISO/IEC 27001:2005 que esté llevando a cabo una auditoría ISO/ IEC 27001:2005 esté también acreditado como auditor de certificación por el CSGR de la WLA. El miembro de la WLA debe estar certificado en la norma ISO/IEC 27001:2005 para poder certificarse en el ECS de la WLA. 4. La certificación en el ECS de la WLA 4.1 Preparación para la certificación Al inicio del proceso de certificación, el miembro de la WLA debe notificar su intención de certificarse en el ECS de la WLA. Para ello, debe contactar sea a la oficina de la WLA en Basilea, a un miembro del CSGR de la WLA o a uno de los auditores de certificación acreditados ante la WLA. La información para contactar a estas personas y sus respectivas entidades está disponible en la página Web de la WLA org. A fin de ayudar con los preparativos para la certificación, el miembro de la WLA puede, en cualquier momento durante la preparación para la certificación, contratar a un asesor externo que ofrezca servicios de preevaluación Análisis de brecha El miembro de la WLA puede realizar un análisis de brecha de su sistema de seguridad y gestión de riesgos antes de la auditoría de certificación, mediante un estudio de la documentación de la norma ISO/IEC 27001:2005 y del ECS de la WLA en el que podrá chequear y comparar qué tanto cumple su organización con los requerimientos del estándar. Este paso no es obligatorio, pero puede ser útil para ayudarle a evaluar cuán lista está su organización para someterse a una au- 10

11 ditoría externa. El miembro de la WLA puede, en consecuencia, establecer un plan de acción para corregir cualquier brecha que haya descubierto a través del análisis. 4.2 Selección de una entidad certificadora La WLA ha aprobado entidades certificadoras específicas para que presten servicios de certificación a los miembros de la WLA que deseen certificar sus operaciones en el ECS de la WLA. La entidad certificadora designada es responsable de supervisar al auditor de certificación que realiza la auditoría de certificación. Los miembros de la WLA que deseen certificarse pueden seleccionar entre una amplia gama de entidades certificadoras aprobadas por la WLA. Estas son entidades certificadoras que han llegado a un acuerdo con la WLA. En la parte A, sección 5, pàgina 13 de este documento, así como en la página Web de la WLA www. world-lotteries.org, encontrará una lista de entidades certificadoras aprobadas por la WLA junto con sus auditores de certificación acreditados por el CSGR de la WLA. Solo las entidades certificadoras que hayan llegado a un acuerdo con la WLA para prestar servicios de certificación pueden ser utilizadas a los fines de la certificación. 4.3 Selección de un auditor de certificación Los miembros de la WLA tienen varias opciones para seleccionar a un auditor de certificación. Podrían: Escoger el mismo auditor para las auditorías ISO/IEC 27001:2005 y ECS de la WLA. En este caso, el auditor de la norma ISO/IEC 27001:2005 debe también estar acreditado por el CSGR de la WLA para realizar certificaciones en el ECS de la WLA. Se recomienda esta opción si el miembro de la WLA se está sometiendo a los procesos de certificación en la norma ISO/IEC 27001:2005 y en el ECS de la WLA al mismo tiempo. Escoger diferentes auditores para las certificaciones ISO/IEC 27001:2005 y ECS de la WLA. En este caso, el auditor de la norma ISO/IEC 27001:2005 no necesariamente debe estar acreditado para realizar certificaciones en el ECS de la WLA. Esta opción es apropiada cuando el miembro de la WLA ya está certificado en la norma ISO/ IEC 27001:2005 y el auditor ISO/IEC 27001:2005 no está disponible o no está acreditado para realizar certificaciones en el ECS de la WLA, o cuando para el miembro resulta mejor contratar a un auditor local para realizar la auditoría ISO/ IEC 27001:2005 y elegir a un auditor de certificación en el ECS de la WLA de la lista de auditores de certificación internacionales acreditados por el CSGR de la WLA. Por razones de consistencia, la WLA recomienda que las loterías que deseen certificarse utilicen el mismo auditor para la norma ISO/IEC 27001:2005, la certificación en el ECS de la WLA y las auditorías anuales, independientemente de si las certificaciones ISO/IEC 27001:2005 y ECS de la WLA se están haciendo en paralelo o por separado. La WLA reconoce que en algunos casos no es posible. Otra alternativa sería que el miembro de la WLA que desee certificarse en el ECS de la WLA: Proponga a la WLA la acreditación de un profesional calificado específico que aún no ha sido aprobado por el CSGR de la WLA para que realice auditorías de certificación. Este individuo podría realizar la auditoría de certifica- ción en el ECS de la WLA siempre y cuando reciba la acreditación por parte del CSGR de la WLA y se firme un acuerdo formal entre la WLA y la entidad certificadora. Esta opción es apropiada para el miembro de la WLA que tiene preferencia por un determinado profesional calificado para que actúe como auditor de certificación o si, por alguna razón, el miembro de la WLA no logra encontrar un auditor de certificación en la lista de auditores de certificación acreditados por el CSGR de la WLA. Para mayor información sobre cómo un profesional calificado puede solicitar acreditación ante el CSGR de la WLA, consulte la parte B, sección 1, página 17. Tenga en cuenta que un auditor de certificación puede trabajar como contratista independiente. En este caso, el auditor de certificación es a la vez auditor de certificación y entidad certificadora. Para mayor información sobre esta situación, consulte la parte B, sección 3.1, página El proceso de certificación Declaración de auditoría Antes de iniciar la auditoría, el auditor de certificación debe confirmar su intención de proceder como tal, mediante el formulario de declaración de auditoría de certificación, el cual debe llenar y enviar a la WLA. La declaración de auditoría de certificación le informa a la WLA cuál es la entidad certificadora, quién es el auditor de certificación y cuál es la propuesta de alcance de la auditoría de certificación. En la parte C, páginas 21 y 22, se encuentra una muestra del formulario de declaración de auditoría de certificación. El formulario original está disponible en formato electrónico en la página Web de la WLA Las 11

12 Parte A Directrices para la certificación de los miembros de la WLA instrucciones para llenar el formulario de declaración de auditoría de certificación y enviarlo a la WLA se encuentran en la parte C, sección 2, página La auditoría de certificación El proceso de certificación comienza tan pronto el miembro de la WLA contrata los servicios de un auditor de certificación acreditado por el CSGR de la WLA a través de una entidad certificadora aprobada por la WLA. El proceso de certificación solo puede iniciarse una vez haya un acuerdo de servicios de certificación entre la entidad certificadora y la WLA y el auditor de certificación haya sido acreditado por el CSGR de la WLA. El auditor de certificación evaluará el cumplimiento de la norma ISO/IEC 27001:2005 y del ECS de la WLA por parte de la lotería. La auditoría de estos dos estándares puede realizarse en paralelo Costo de los servicios de certificación (honorarios del auditor externo) Los honorarios del auditor externo pueden variar en cada situación. Los factores que determinan el costo incluyen la complejidad de la lotería, la duración de la auditoría de certificación y el precio de mercado en el país en el que se está realizando la auditoría de certificación. 4.5 Resultado de la certificación Una vez finalizada la auditoría de certificación, el auditor de certificación debe: Realizar un informe detallado de la auditoría de certificación para entregárselo al miembro de la WLA Llenar el formulario de evaluación de auditoría de certificación y enviarlo a la WLA. La WLA otorgará o negará la certificación de acuerdo con la recomendación hecha por el auditor de certificación en la evaluación de auditoría de certificación enviada a la WLA Informe de auditoría de certificación El auditor de certificación prepara el informe detallado de auditoría de certificación para el miembro de la WLA. El informe documenta la auditoría de certificación y su resultado. El contenido y formato del informe queda a discreción del auditor de certificación. El informe de auditoría de certificación es propiedad del miembro de la WLA y será considerado como un documento estrictamente confidencial. Ni la WLA ni ningún tercero, excepto el auditor de certificación, entidad certificadora y el miembro de la WLA en cuestión, tendrá acceso al informe de auditoría. Consulte la parte C, sección 4, página Formulario de evaluación de auditoría de certificación Al finalizar la auditoría de certificación, el auditor de certificación debe llenar un formulario de evaluación de auditoría de certificación y enviarlo a la WLA. En la parte C, páginas 24 28, se encuentra una muestra del formulario de evaluación de auditoría de certificación. El formulario original está disponible en formato electrónico en la página Web de la WLA Las instrucciones para llenar el formulario de evaluación de auditoría de certificación y enviarlo a la WLA se encuentran en la parte C, sección 3, página Resultado de la certificación El formulario de evaluación de auditoría de certificación que se le ha enviado a la WLA sirve como base para el otorgamiento de la certificación en el ECS de la WLA. La WLA otorgará o negará la certificación de acuerdo con la recomendación hecha por el auditor de certificación en el formulario de evaluación de auditoría de certificación enviado a la WLA. 4.6 Emisión del certificado ECS de la WLA Para aquellos miembros de la WLA a los que se les ha otorgado la certificación, la WLA emitirá el certificado formal ECS de la WLA y se lo enviará junto con una factura por 1500 francos suizos. Estos honorarios son para cubrir el desarrollo y mantenimiento del Programa de Seguridad y Gestión de Riesgos de la WLA y no para cubrir los honorarios del auditor de certificación, que les serán enviados directamente desde la entidad certificadora que seleccionó para que realizara su auditoría. El certificado ECS de la WLA confirma que el miembro de la WLA está certificado en el ECS de la WLA. El certificado puede incluir los siguientes datos: La fecha de la auditoría de certificación. La referencia de certificación en la norma ISO/IEC 27001:2005. La duración de la certificación expresada en años. El alcance de la certificación, incluyendo cualquier condición sobre la certificación (por ejemplo, controles no aplicables). El nombre de la entidad certificadora que realizó el proceso de certificación. 4.7 Auditorías anuales Al finalizar la auditoría de certificación, el auditor de certificación deberá proponer un calendario para las auditorías anuales, que se realizan con la finalidad de ayudar a que el miembro de la WLA siga cumpliendo con el ECS de la WLA durante el periodo de tres años entre la certificación y la recertificación. La decisión de participar en las auditorías anuales queda a discreción del miembro de la WLA. Cuando se realizan auditorías anuales, éstas deberán enfocarse en: Los cambios que han surgido en la organización desde la última auditoría. 12

13 Confirmar que se está cumpliendo con el ECS de la WLA. 4.8 Recertificación Un miembro de la WLA que está certificado en el ECS de la WLA puede recertificarse mediante la repetición de todo el proceso de certificación una vez esté cerca la fecha de vencimiento de su certificación ECS de la WLA. El proceso de recertificación debe comenzar antes del vencimiento de la certificación ECS de la WLA. 5. Auditores de certificación acreditados por el CSGR de la WLA En la lista que presentamos a continuación se encuentran las entidades certificadoras aprobadas por la WLA y sus auditores de certificación acreditados por el CSGR de la WLA. Dado que el número de entidades certificadoras aprobadas por la WLA y de auditores de certificación acreditados por el CSGR de la WLA está en continuo crecimiento, la lista está actualizada hasta el momento de la redacción de este documento. Para consultar la versión más reciente de esta lista, remítase a la página Web de la WLA Entidad certificadora British Standards Institute (BSI) Sistemas de Gestión Beech House Breckland Linford Wood Milton Keynes MK14 6ES Reino Unido Teléfono Fax Det Norske Veritas Certification AS (DNV) Veritasveien 1 N-1322 Høvik Noruega Teléfono Fax DNV.Corporate@dnv.com Ernst & Young CertifyPoint Euclideslaan BL, Utrecht Países Bajos Contacto: Jatin Sehgal Teléfono Celular jatin.sehgal@nl.ey.com Fax EY/Comm Auditores de certificación Jason Blake jason.blake@bsigroup.com Dr. Peter Katona katona.peter@t-online.hu Agustin Lerma agustin.lerma@bsigroup.com Shane Nash shane.nash@bsigroup.com Tony Steinegger steinegger@sit-con.com Irvine Taylor irvine.taylor@bsigroup.com Elin Lunde Haaland Auditor de certificación líder de DNV Teléfono elin.lunde.haaland@dnv.com Fabrizio Monteleone fabrizio.monteleone@dnv.com Jan Ekberg jan.ekberg@dnv.com Heinz Budde budde-bq@t-online.de Balvander Matu bal@matu.co.uk EJ Bauman (Norteamérica) ej.bauman@dnv.com Gavin Ryan (Australia) gavin.ryan@au.ey.com Brendan Griffin (Australia) brendan.griffin@au.ey.com Stephen Huang (Australia) stephen.huang@au.ey.com Ad Buckens (Países Bajos) ad.buckens@nl.ey.com Tom Vreeburg (Países Bajos) tom.vreeburg@nl.ey.com 13

14 Parte A Directrices para la certificación de los miembros de la WLA Entidad certificadora KPMG IT Advisory, Netherlands Postbus Box DB, Amsterdam Países Bajos Teléfono Fax Schweizerische Vereinigung für Qualitäts- und Management-Systeme (SQS) Bernstrasse Zollikofen Suiza Teléfono Fax Auditores de certificación Deborah Hofland hofland.deborah@kpmg.nl Claude Otz claude.otz@sqs.ch Erwin Peter erwin.peter@sqs.ch 6. El Comité de Seguridad y Gestión de Riesgos de la WLA El Comité de Seguridad y Gestión de Riesgos de la WLA ha estado trabajando desde que se estableció la WLA en Una de sus responsabilidades más importantes es mantener y desarrollar aún más el ECS de la WLA. El comité también hace recomendaciones a los miembros sobre temas relacionados con la seguridad y realiza con regularidad seminarios de seguridad para la WLA. Thierry Pujol Presidente del comité Française des Jeux Francia tpujol@lfdj.com Société Générale de Surveillance SA (SGS) 1, place des Alpes 1211 Genève 1 Suiza Teléfono Fax Paolo Cannarsa paolo.cannarsa@sgs.com Jean-Marc Valentin valentin@efficacite.ch Dr. Carlos Bachmaier Johanning Loterías y Apuestas del Estado/ STL España carlos.bachmaier@stl.es Torbjörn Borg AB Svenska Spel Suecia torbjorn.borg@svenskaspel.se TÜV SÜD Management Service GmbH Ridlerstrasse München Alemania Werner Pollert werner.pollert@tuev-sued.de Evangelos Cosmidis OPAP S.A. Grecia cosmidis@opap.gr Teléfono Fax info@tms.tuev-sued.de Gunnar Ewald LOTTO Hamburg GmbH Alemania ewald@lotto-hh.de Tyrne Enterprises Inc. 16 Islay Drive Rothesay, New Brunswick, E2E3J2 Canadá Greg Doucette greg.doucette@tyrne.ca Dong Hong Fang China Sports Lottery China dhf@lottery.gov.cn Teléfono Neil Kellar Camelot Group plc The National Lottery Reino Unido neil.kellar@camelotgroup.co.uk 14

15 Trond Laupstad Norsk Tipping AS Noruega Miguel Angel Valdés Mejía Lotería Nacional para la Asistencia Publica México Dawid Muller Gidani (Pty) Ltd República de Sudáfrica Itamar de Carvalho Pereira Caixa Econômica Federal Brasil Jean-Jacques Riera Française des Jeux Francia Erich Schuster Österreichische Lotterien GmbH Austria Jan Seuri Veikkaus Oy Finlandia Jan Stewart Lotterywest Australia Edgardo Siccatto Loteria Nacional S.E. Argentina Gale Vessels Kentucky Lottery Corporation Estados Unidos 7. Miembros certificados en el ECS de la WLA La lista que se muestra a continuación presenta a los miembros de la WLA que están certificados en el ECS de la WLA. La lista está actualizada hasta el momento de la redacción de este documento. Para consultar la versión más reciente, remítase a la página Web de la WLA País Lotería Año de certificación Alemania Bremer Toto Lotto GmbH, Bremen 2010 Deutsche Klassenlotterie, Berlin 2009 Lotterie-Treuhandgesellschaft mbh, Hessen 2010 Lotterie-Treuhandgesellschaft mbh, Thüringen 2007 LOTTO Hamburg, Hamburg 2006 Lotto Rheinland-Pfalz, Rheinland-Pfalz 2003 Lotto-Toto GmbH, Sachsen-Anhalt 2006 NordwestLotto Schleswig-Holstein GmbH & Co. KG, 2000 Schleswig-Holstein Saarland-Sporttoto GmbH, Saarbrücken 2009 Sächsische-LOTTO GmbH, Saxony 2007 Staatliche Lotterieverwaltung, Bavaria 2008 Staatliche Toto-Lotto GmbH, Baden-Württemberg 2008 Toto-Lotto Niedersachsen GmbH, Hannover 2011 Westdeutsche Lotterie GmbH & Co. OHG, Münster 2010 Australia Lotterywest 2011 Austria Österreichische Lotterien GmbH 2004 Bélgica Loterie Nationale 2004 Canadá Atlantic Lottery 2011 Dinamarca Danske Spil A/S 2005 España Loteria de Catalunya, Barcelona 2010 Loterías y Apuestas del Estado (LAE), Madrid 2008 Organización Nacional de Ciegos Españoles (O.N.C.E.), 2006 Madrid Estonia Eesti Loto 2009 Finlandia Veikkaus Oy 2006 Francia Française des Jeux (FDJ) 2003 Irlanda An Post National Lottery Company 2006 Islandia Íslensk Getspá 2009 Italia Lottomatica SpA 2009 Letonia VAS Latvijas Loto

16 Parte A Directrices para la certificación de los miembros de la WLA País Lotería Año de certificación Lituania UAB Olifeja Inc Luxemburgo Loterie Nationale 2004 México Lotería Nacional para la Asistencia Pública 2010 Pronósticos para la Asistencia Pública 2009 Noruega Norsk Tipping AS 2008 Países Bajos Nederlandse Staatsloterij, Den Haag 2007 Portugal Santa Casa de Misericórdia de Lisboa 2004 Reino Unido The National Lottery 2009 Suecia AB Svenska Spel 2004 Suiza Société de La Loterie de la Suisse Romande, Lausanne 2009 Swisslos Interkantonale Landeslotterie, Basel 2009 Otras organizaciones certificadas: País Organización Año de certificación Austria Scientific Games International GmbH, 2011 European Systems Operations España Sistemas Técnicos de Loterías del Estado S.A Estados Unidos GTECH Corporation 2011 Grecia Intralot S.A Irlanda GTECH Ireland Operations Ltd Islandia Betware

17 Parte B Directrices para la acreditación de auditores de certificación 1. Afiliación de auditores de certificación y entidades certificadoras Solo los auditores de certificación acreditados por el CSGR de la WLA y que son empleados, agentes o subcontratistas de una entidad certificadora aprobada por la WLA están autorizados para llevar a cabo el proceso de certificación en el ECS de la WLA de los miembros de la WLA. Las organizaciones que deseen ofrecer servicios de certificación en el ECS de la WLA, y que aún no han sido aprobadas por la WLA, pueden recibir aprobación para prestar servicios de certificación al llegar a un acuerdo con la WLA. Las organizaciones interesadas en ser aprobadas por la WLA para realizar certificaciones deben consultar la parte B, sección 3, página 19 para mayores detalles. Cualquier miembro de la WLA o entidad certificadora puede recomendar a un profesional calificado, que aún no esté acreditado como auditor de certificación por el CSGR de la WLA, como un auditor de certificación potencial para realizar certificaciones en el ECS de la WLA. Los auditores de certificación potenciales interesados en ser acreditados por el CSGR de la WLA para llevar a cabo auditorías de certificación deben leer la siguiente información para mayores detalles. 2. Cómo calificar como auditor de certificación aprobado por el CSGR de la WLA Todos los auditores de certificación en el ECS de la WLA deben estar acreditados por el CSGR de la WLA. Cualquier miembro de la WLA o entidad certificadora puede recomendar a un profesional calificado, que aún no esté acreditado como auditor de certificación por el CSGR de la WLA, como un auditor de certificación potencial para realizar certificaciones en el ECS de la WLA. Un profesional calificado recomendado por un miembro de la WLA, que aún no está acreditado por el CSGR de la WLA para realizar certificaciones en el ECS de la WLA, debe en primer lugar solicitar acreditación de acuerdo con el siguiente procedimiento: 1. El auditor de certificación potencial, recomendado por un miembro de la WLA o por una entidad certificadora, debe contactar a la WLA a través de la presentación de un expediente completo con documentación probatoria que respalde su solicitud. Luego, este expediente se envía al CSGR de la WLA. 2. El CSGR de la WLA evalúa los conocimientos y experiencia del solicitante basándose en la documentación probatoria que le fue enviada. 3. Si el solicitante cumple con todos lo requisitos, se le otorga la acreditación. El CSGR envía la aprobación oficial de la acreditación a la WLA y luego ésta se le informa al solicitante. Tenga en cuenta que un auditor de certificación puede también ser una entidad certificadora. Esta situación puede surgir cuando, por ejemplo, el auditor de certificación es un contratista independiente. En este caso, el auditor de certificación debe estar acreditado por el CSGR de la WLA y debe llegar a un acuerdo con la WLA para prestar servicios de certificación. Para mayor información sobre esta situación, consulte la parte B, sección 3.1, pàgina Requisitos probatorios Un auditor de certificación recomendado ( el solicitante ) que desee recibir acreditación por parte del CSGR para realizar auditorías de certificación en el ECS de la WLA debe cumplir con los requisitos que se mencionan a continuación. El solicitante debe: Participar activamente en el área de sistemas de información Ser auditor líder certificado en la norma ISO/IEC 27001:2005, experto o auditor en seguridad de la información, certificado como tal por un ente de certificación internacionalmente reconocido Tener experiencia durante un periodo de tiempo razonable en el sector de la lotería Tener una o más de las siguientes designaciones: Auditor certificado en sistemas de información Gerente certificado en sistemas de información Profesional certificado en seguridad de sistemas de la información Auditor interno certificado Las certificaciones deben estar vigentes y ser válidas por un periodo 17

18 Parte B Directrices para la acreditación de auditores de certificación suficiente para cubrir el proceso de certificación. Con la finalidad de evaluar si el solicitante cumple con los criterios anteriores y para garantizar la más alta calidad de la auditoría y el valor de la certificación en el ECS de la WLA, el solicitante debe enviar a la WLA los siguientes documentos probatorios: Una carta emitida por el miembro de la WLA o por la entidad certificadora en la que recomienda al solicitante. La carta de recomendación debe contener una descripción concisa de las cualificaciones del solicitante, sus habilidades y experiencia, así como su capacidad para realizar el trabajo requerido por la auditoría de certificación. El Curriculum Vitae completo del solicitante, cuyo formato y contenido debe ser como se mostrará en breve. Evidencia de que el solicitante está debidamente certificado como auditor líder en la norma ISO/IEC 27001:2005 o certificado como auditor en el área de tecnología de la información por una autoridad certificadora aceptada a nivel mundial. Algunas de las autoridades certificadoras aceptadas a nivel mundial son ISACA, CIA y SANS. Todas las certificaciones deben estar vigentes y ser válidas por un periodo suficiente para cubrir la próxima auditoría de certificación. Evidencia de que el solicitante ha trabajado en un cargo de seguridad en la industria de la lotería durante un periodo no menor a un año. Referencias escritas de al menos tres clientes para los que el candidato a auditor de certificación ha prestado servicios relacionados con certificación o auditoría en seguridad de la información. Además, el solicitante debe ser contratado como empleado, agente o subcontratista por una entidad certificadora que haya previamente llegado a un acuerdo con la WLA para prestar servicios de certificación. Además de los requisitos probatorios antes mencionados, el CSGR de la WLA podría aceptar, según el caso, evidencias alternativas sobre la capacidad del solicitante para realizar certificaciones en el ECS de la WLA Formato del Curriculum Vitae El CV del solicitante debe incluir los siguientes renglones e información: Información personal Esta sección debe contener la información personal del solicitante: Nombre Dirección Número de teléfono celular Dirección electrónica Experiencia profesional Esta sección debe resumir los últimos cinco años de experiencia que el solicitante tiene realizando auditorías en sistemas de información y en seguridad de la información. Si es necesario, adjunte hojas separadas para dar más detalles o incluir documentación de soporte. Experiencia laboral En esta sección debe presentarse en detalle cada cargo que el solicitante ha ocupado: El nombre de la compañía, organización o institución para la cual trabajó Las fechas de inicio y término de empleo Los motivos de terminación de la relación laboral Un resumen de los principales logros del solicitante durante el empleo Listado de clientes Esta sección debe suministrar información detallada sobre los clientes para los que el solicitante ha trabajado durante los cinco años previos a su solicitud. Debe mencionar las consultas relacionadas con auditorías en sistemas de información y con servicios en seguridad de sistemas de información con resultados exitosos, comenzando por el más reciente hasta el más antiguo. Para cada cliente, debe suministrar la siguiente información: Cliente/institución Año (AA/MM/DD) País Dirección fiscal y correo electrónico de la persona contacto en la institución/cliente Nombre de la consulta/proyecto/ resultados detallados. Monto del contrato 18

19 Formación académica Esta sección debe resumir los títulos académicos del solicitante. Las copias certificadas de los certificados profesionales y académicos deben presentarse junto con el CV. Idiomas En esta sección se debe indicar qué idiomas habla el solicitante. Es importante señalar el nivel de competencia tanto oral como escrito en cada uno de los idiomas mencionados. Información adicional Esta sección debe incluir cualquier información adicional relevante para la solicitud Instrucciones para enviar la documentación probatoria La documentación probatoria en su totalidad debe enviarse a la atención de Paul Peinado a la oficina de la WLA en Basilea, preferiblemente en formato electrónico, a través del: Correo electrónico: pp@world-lotteries.org Fax: Si por alguna razón el solicitante debe enviar copias impresas de los documentos, debe hacerlo a la siguiente dirección: The World Lottery Association Attn: Paul Peinado Lange Gasse 20 P. O. Box CH-4002 Basilea Suiza En cualquiera de los dos casos, los documentos serán enviados al CSGR de la WLA para su evaluación final y aprobación. La WLA se reserva el derecho de rechazar las solicitudes que presenten documentación probatoria insuficiente o incompleta. La oficina de la WLA en Basilea comunicará la decisión del CSGR dentro de las tres semanas siguientes a la recepción de la documentación enviada por el solicitante Evaluación de los auditores de certificación recomendados Luego de la recepción del expediente, el CSGR de la WLA revisa las credenciales del solicitante para determinar si debe o no ser autorizado para realizar certificaciones en el ECS de la WLA. La decisión de aceptar o rechazar un auditor de certificación recomendado se basa en una evaluación de la documentación probatoria presentada a la WLA y de los criterios mencionados en la parte B, sección 2.1, página 17. Una vez acreditado, el nombre del auditor de certificación se agrega a la lista de auditores de certificación acreditados por el CSGR de la WLA y la lista actualizada se publica en la página Web de la WLA Si la solicitud de acreditación es rechazada, se le informa al solicitante las razones por las cuales no fue aprobada. Si las razones por las que fue rechazada su solicitud son menores (por ejemplo, su estatus de auditor de certificación está por vencerse), se le informará al solicitante de ello y se le pedirá corregir y reenviar su solicitud dentro de un corto plazo. 3. Cómo calificar como entidad certificadora aprobada por la WLA Una entidad que ofrece servicios de certificación es aprobada como entidad certificadora al llegar a un acuerdo no-comercial con la WLA para prestar servicios de certificación. Este acuerdo delimita las responsabilidades, obligaciones y limitaciones de la entidad certificadora con respecto a su trabajo como ente certificador en el proceso de certificación en el ECS de la WLA. Se puede obtener una copia del acuerdo para prestar servicios de certificación al contactar a la WLA. Al firmar el acuerdo para prestar servicios de certificación, la entidad certificadora garantiza a la WLA que los auditores de certificación que trabajan para ella deberán primero ser aprobados por el CSGR de la WLA para poder realizar auditorías de certificación en el ECS de la WLA. Solo los auditores de certificación que han recibido aprobación del CSGR de la WLA están autorizados para realizar auditorías de certificación en el ECS de la WLA. 3.1 Auditores certificados que actúan como entidad certificadora Un auditor de certificación puede trabajar como contratista independiente. En este caso, el auditor de certificación es a la vez auditor de certificación y entidad certificadora. Este individuo está obligado a suscribir un acuerdo para prestar servicios de certificación, además de estar acreditado como auditor de certificación por el CSGR de la WLA. 19

20 Parte C Documentación para la auditoría de certificación 1. Requisitos de documentación para auditorías de certificación Los auditores de certificación acreditados por el CSGR de la WLA que estén realizando auditorías de certificación de un miembro de la WLA deben preparar la siguiente documentación y enviarla a la entidad pertinente: 1. Formulario de declaración de auditoría de certificación Antes de comenzar una auditoría, el auditor de certificación debe notificar a la WLA su intención de realizar una auditoría de certificación mediante el envío del formulario de declaración de auditoría de certificación a la WLA. En la parte C, páginas 21 y 22, se encuentra una muestra del mencionado formulario y el original está disponible en formato electrónico en la página Web de la WLA 2. Evaluación de la auditoría de certificación Una vez culminada la auditoría, el auditor de certificación debe notificarlo a la WLA mediante el envío del formulario de evaluación de auditoría de certificación. En las páginas 24 a la 28, se encuentra una muestra del mencionado formulario y el original está disponible en formato electrónico en la página Web de la WLA 3. Informe detallado de la auditoría de certificación Una vez culminada la auditoría, el auditor de certificación debe realizar un informe detallado de la auditoría de certificación y enviarlo a la entidad certificadora y al miembro de la WLA. Consulte la parte C, sección 4, página 29. En todos los casos, la responsabilidad de enviar la documentación de auditoría de certificación completa a las entidades pertinentes es del auditor de certificación y de la entidad certificadora que esté llevando a cabo la certificación. 2. Formulario de declaración de auditoría de certificación Instrucciones para llenar el formulario de declaración de auditoría de certificación. Antes de comenzar el proceso de auditoría de certificación, llene el formulario de declaración de auditoría de certificación de la siguiente manera: 1. Coloque la fecha 2. Coloque el nombre del miembro de la WLA al que se le está realizando la auditoría de certificación. 3. Llene las partes 1, 2 y 3 del formulario de declaración. La parte 3, Alcance, debe incluir el alcance de la auditoría de certificación tal y como se desea esté reflejado en el certificado del ECS de la WLA. También debe hacer mención del emisor del certificado ISO/IEC 27001:2005, si ya se obtuvo y mostrar su alcance. El formulario de declaración de auditoría de certificación debidamente llenado debe enviarse a la atención de Paul Peinado a la oficina de la WLA en Basilea, preferiblemente en formato electrónico, a través del: Correo electrónico: pp@world-lotteries.org Fax: Si el auditor de certificación debe enviar copias impresas de los documentos, debe hacerlo a la siguiente dirección: The World Lottery Association Attn: Paul Peinado Lange Gasse 20 P. O. Box CH-4002 Basilea Suiza 20