Blog de Innevo

SGSI y PDCA: Gestiona con Éxito la Implementación de la ISO 27001

Escrito por Adolfo Mota | Jan 12, 2024 2:45:00 PM

En una era digital donde los datos son la nueva moneda, salvaguardar la información confidencial es una prioridad absoluta para las organizaciones de todo el mundo. ISO 27001 sirve como un marco sólido para lograr este objetivo. Sin embargo, garantizar el cumplimiento de la norma ISO 27001 y mantener un sólido Sistema de Gestión de Seguridad de la Información (SGSI) requiere un enfoque estructurado.

Uno de esos enfoques es el ciclo PDCA (Planificar-Hacer-Verificar-Actuar), una metodología simple pero poderosa. En este artículo, exploraremos cómo se puede aprovechar eficazmente el ciclo PDCA en el contexto del SGSI basado en la ISO 27001.

¿Qué encontrarás en este artículo?

¿Qué es el modelo Plan - Do - Check - Act (PDCA)?

El ciclo Planificar, Hacer, Verificar, Actuar, también conocido como Círculo de Deming, es un modelo que tu organización puede utilizar para mejorar un proceso continuo. Al seguir el ciclo, la idea es evitar cometer errores repetitivos. El proceso es iterativo, un enfoque común dentro de metodologías como la gestión ágil y el Design Thinking.

Si bien el modelo es sencillo, el mejor resultado se obtiene cuando se trabaja con el modelo con una perspectiva de largo plazo, por eso requiere el compromiso de la dirección de tu organización.

Aplicando el PDCA al SGSI

El alma de la mejora continua ha sido fundamental en cualquier norma ISO, incluida la norma del Sistema de Gestión de Seguridad de la Información, la ISO 27001.

El concepto detrás de la mejora continua en ISO 27001 es garantizar que el logro de la sostenibilidad de la seguridad de la información se mantenga a lo largo del tiempo mediante la realización de actividades estratégicas como la auditoría periódica, auditoría de vigilancia, revisión ocular fría, revisión del cumplimiento del proyecto, etc.

En cada paso del ciclo PDCA se utiliza la ISO 27001 para dar vida al SGSI, por lo tanto, analicemos cómo se corresponde cada uno de los pasos del ciclo con los apartados de la norma.

Planificar

“Establecer políticas, objetivos, procesos y procedimientos de SGSI relevantes para gestionar el riesgo y mejorar la seguridad de la información para ofrecer resultados de acuerdo con las políticas y objetivos generales de una organización."

Esta etapa es el proceso inicial en el ciclo de vida de ISO 27001. El objetivo principal de este paso es establecer el marco ISO 27001 en la organización y su política de seguridad de la información. Hay 4 capítulos correlacionados en la norma ISO 27001 que pertenecen a este paso, cada uno de ellos se apoya entre sí para lograr el establecimiento adecuado de ISO 27001 en el entorno interno.

Los apartados que corresponden en esta etapa son:

  • 4: Contexto.
  • 5: Liderazgo.
  • 6: Planificación.
  • 7: Soporte.

Acorde a la visión de ISO 27001, cada organización tendrá un programa de establecimiento de la norma único porque son diferentes en su naturaleza, características del sistema, el volumen, la complejidad, las personas y sus roles, la gestión implementada, la tecnología que se utiliza, la planificación futura, etc.

Conoce los puntos más importantes de la última versión de la norma ISO 27001.

Por esta razón, esta primera etapa es crucial para los próximos 3 pasos en el concepto PDCA y para todo el SGSI, ya que toda la planificación e implementación estratégica, incluida la parte de evaluación y auditoría, se diseñarán y establecerán en este paso.

Mi recomendación es que, para cumplir adecuadamente esta etapa, te bases en el análisis de los riesgos que comprometen o pueden comprometer la integridad de la información física y digital de tu empresa.

Antes de pasar a la siguiente etapa, asegúrate de que todos los miembros de tu equipo puedan responder las siguientes preguntas:

  1. ¿Cuál es el principal problema que estaremos resolviendo?
  2. ¿Qué recursos se necesitan?
  3. ¿Qué hará que el plan tenga éxito?

Hacer

“Implementar y operar la política, los controles, los procesos y los procedimientos del SGSI”.

Corresponde al capítulo 8 de la norma: Operaciones.

Avanzando hacia el paso Hacer nos enfrentaremos al período de puesta en servicio y prueba del SGSI. Esta es la transición entre las actividades de diseño a las del mundo real.

Se debe garantizar la alineación entre entidades, ya que toda la garantía de seguridad de TI que se va a lograr requiere un enfoque integrado entre cada paso del ciclo PDCA. Por lo tanto, el uso de estándares bien conocidos como la misma ISO 27001, es uno de los mejores enfoques para garantizar la integración y unidad en las actividades del SGSI, especialmente durante la fase de Operaciones (la fase más larga dentro del ciclo PDCA).

Hacer, requiere que ejecutes el plan diseñado. Sin embargo, también debes estar alerta y anticipar algunos problemas impredecibles que podrían ocurrir y que no fueron considerados en el plan, sobre todo si es la primera vez que experimentas con la implementación de un SGSI.

Una recomendación: si tu plan consiste en grandes cambios organizacionales, es prudente probar primero el plan a pequeña escala para evitar errores que puedan complicar su implementación.

También es importante que recuerdes realizar un seguimiento de los KPI que has establecido.

Verificar

“Evaluar y, cuando corresponda, medir el desempeño del proceso en comparación con la política, los objetivos y la experiencia práctica del SGSI e informar los resultados a la gerencia para su revisión”.

Corresponde al capítulo 9 de la norma: Evaluación del desempeño.

Mantener el rendimiento óptimo es imprescindible si quieres asegurar el resultado de algún proceso dentro de las expectativas de seguridad de tu empresa. Por lo tanto, se debe evaluar la implementación y las operaciones del marco ISO 27001 para explorar las debilidades que aún se pueden corregir, mejorar la práctica actual al mejor nivel, hacer eficientes las actividades laborales, registrar nuevas vulnerabilidades y amenazas que enfrenta la organización, etc.

Para hacer esta evaluación del desempeño lo más recomendable es ejecutar la auditoría de cumplimiento de políticas y la auditoría de seguridad, las cuales deben cumplir con las características de la auditoría estándar que se rige por la norma ISO 27001.

A nivel de certificación de la ISO 27001, la auditoría del SGSI debe realizarse con una frecuencia de una vez cada 3 años para mantener la certificación. Se recomienda que la empresa realice por sus propios medios una auditoría de seguridad cada tres meses y se exige que un organismo verificador ejecute anualmente una auditoría de sostenimiento.

Así la empresa permanece lo más posible cumpliendo con sus políticas de seguridad.

Tanto las auditorías internas, como las de sostenimiento y la de certificación tienen como objetivo principal garantizar que el SGSI cumpla con la norma ISO 27001 de manera adecuada; si hay algunas brechas entre la práctica actual y la norma, entonces se deben realizar las actividades (si se acuerda hacerlo) para arreglar las brechas.

Al recopilar y analizar los KPI y los datos, quedará claro si las iniciativas han tenido el efecto deseado o si es necesario realizar ajustes. Esto se hace comparando el resultado obtenido con el resultado esperado que se estableció en el plan.

Actuar

“Tomar acciones correctivas y preventivas, basadas en los resultados de la auditoría interna del SGSI y la revisión de la gestión u otra información relevante, para lograr la mejora continua del SGSI”.

Corresponde al capítulo 10 de la norma: Mejora.

La última fase del ciclo es impulsar a la empresa no solamente a cumplir con sus políticas de seguridad sino a que estas sean cada vez mejores y más eficientes. Tiene una correlación muy estrecha con la tercera etapa ya que los resultados de la auditoría son el punto de referencia para que este paso realice sus actividades de mejora.

Seguramente habrá algunos proyectos nuevos que participarán, o algunas actividades estratégicas que requerirán horas de trabajo para realizarse, o incluso rediseñar el sistema existente como consecuencia del resultado y la recomendación de la auditoría realizada, con lo que el ciclo PDCA comienza nuevamente.

Reiniciar el ciclo

El criterio fundamental para aprovechar el ciclo PDCA, priorizar las acciones y obtener los mejores resultados es que todos los análisis y decisiones de seguridad los bases en la gestión de riesgos. Así, en función de tus riesgos particulares, la empresa puede determinar qué brechas deben ser atendidas de inmediato y cuáles pueden mantenerse.

Como puedes ver, el ciclo PDCA es un ciclo cerrado de actividades que requieren una mejora dinámica a lo largo del tiempo. La seguridad de TI también es algo dinámico, avanza muy rápido y es necesario que la organización interna mantenga siempre el ritmo de los cambios garantizando que el proceso del ciclo de vida PDCA y SGSI estén bajo control.

SGSI y PDCA: enfrentar el desafío continuo de la seguridad de la información

El ciclo Planificar, Hacer, Verificar, Actuar se puede utilizar en todos los niveles organizacionales y para todo tipo de procesos. Sin embargo, creo que el modelo es especialmente útil cuando se trata de ciberseguridad.

Las medidas para mejorar la seguridad están en constante desarrollo, pero también lo están los esfuerzos de los delincuentes ya que siempre están intentado encontrar nuevos métodos para conseguir lo que quieren.

Una organización nunca será 100% segura o imposible de piratear, pero sí podemos decir que la mejor estrategia de seguridad de la información consiste en reducir la probabilidad de ser víctima de un delito basado en la seguridad propia, de tus asociados y de tus clientes.

La mejor forma de sacarle el mayor provecho a esta metodología es contar con un programa de concientización continua para el personal ya que es una de las defensas más sólidas en la seguridad de la información de tu organización.

Tu deber como encargado de la seguridad de la información es estar permanentemente atento a cualquier anomalía de seguridad en tu información y actuar lo antes posible.

Si buscas apoyo para implementar ISO 27001 en tu organización de forma estructurada y óptima, en Innevo contamos con un Plan de Acompañamiento probado, ágil y sencillo que facilita la implementación y garantiza la obtención de la certificación en la norma.