Mejora continua en el SGSI: ciclo PDCA aplicado
El ciclo PDCA (Plan-Do-Check-Act, o Planificar-Hacer-Verificar-Actuar) es el motor que mantiene vivo un Sistema de Gestión de Seguridad de la Información. La cláusula 10.1 establece que la organización debe mejorar continuamente la idoneidad, adecuación y eficacia del SGSI.
Esta guía explica cómo funciona el ciclo PDCA en el contexto del SGSI, cuáles son las fuentes de mejora y cómo evaluar la madurez de tu sistema de gestión. Lee también métricas del SGSI y gestión de no conformidades.
El ciclo PDCA y su estructura en ISO 27001
| Fase PDCA | Cláusulas ISO 27001 | Actividades principales |
|---|---|---|
| Planificar (Plan) | 4, 5, 6, 7 | Contexto, liderazgo, gestión de riesgos, objetivos, planificación de controles |
| Hacer (Do) | 8 | Operación del SGSI, implementación de controles, gestión de incidentes |
| Verificar (Check) | 9 | Métricas, auditoría interna, revisión por la dirección |
| Actuar (Act) | 10 | No conformidades, acciones correctivas, mejora continua |
Fase Planificar: diseñar para mejorar
La mejora continua comienza en la fase de planificación. Las entradas para la planificación incluyen: resultados de la evaluación de riesgos más reciente, incidentes del período y sus lecciones aprendidas, cambios en el contexto organizacional y requisitos regulatorios nuevos o modificados.
Fase Verificar: medir para mejorar
| Actividad de verificación | Frecuencia recomendada | Salida principal |
|---|---|---|
| Monitoreo de métricas de seguridad | Continua / mensual | Datos de tendencias y alertas |
| Revisión de incidentes | Mensual | Patrones, causas, tiempo de respuesta |
| Revisión de accesos y privilegios | Trimestral | Lista de cuentas a revocar o ajustar |
| Auditoría interna del SGSI | Anual (mínimo) | No conformidades y observaciones |
| Revisión por la dirección | Anual (mínimo) | Decisiones sobre recursos y prioridades |
Fase Actuar: convertir hallazgos en mejoras
Fuentes reactivas
- No conformidades de auditorías internas y externas
- Incidentes de seguridad con lecciones aprendidas
- Resultados negativos de pruebas de penetración o evaluaciones de vulnerabilidades
Fuentes proactivas
- Oportunidades identificadas en la revisión por la dirección
- Tendencias en métricas antes de que se conviertan en no conformidades
- Cambios planificados en tecnología, procesos u organización
- Inteligencia de amenazas y nuevas vulnerabilidades publicadas
Modelo de madurez del SGSI
| Nivel | Nombre | Descripción |
|---|---|---|
| 1 | Inicial / Ad hoc | Los controles existen pero son informales e inconsistentes |
| 2 | Reproducible | Los procesos están definidos; se aplican de forma consistente en algunas áreas |
| 3 | Definido | El SGSI está documentado, aprobado y aplicado en toda la organización |
| 4 | Gestionado | Los procesos se miden y controlan con métricas; las decisiones se basan en datos |
| 5 | Optimizado | La mejora continua es parte de la cultura; se anticipan y previenen problemas |
Impulsa la mejora continua de tu SGSI con GRC360
GRC360 integra el ciclo PDCA en la gestión del SGSI: desde la planificación de riesgos y objetivos, hasta el registro de incidentes, métricas, auditorías internas y seguimiento de acciones de mejora. Todo conectado en una sola plataforma.
Comenzar GratisConsulta también las cláusulas obligatorias de ISO 27001, auditoría interna y preparación para la certificación.
¿Necesitas gestionar tu compliance?
GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.
Crear Cuenta Gratis