Mejora continua de un SGSI segun ISO 27001
Uno de los mejores aportes que nos brindan los estándares de gestión es el concepto de mejora continua. La mejora continua es el motor impulsor de cualquier sistema de gestión, incluyéndose, como no, los Sistemas de Gestión de Seguridad de la Información (SGSI).
Como parte vital (como todas ellas) en el ciclo PDCA, constituye una sistemática que aporta el aprender de nuestros errores, el ir más allá, el acometer actuaciones para satisfacer ciertas debilidades, el adelantarse a posibles eventos desagradables antes de que estos sucedan, etc.
Constituye un aporte adicional a los sistemas de seguridad de la información tradicionales, los cuales despliegan controles para salvaguardar la información propiedad de la organización, pero sin adoptar estándares soportados por el ciclo PDCA. Digamos que es una de las metodologías que nos brinda ISO 27001 como estándar de gestión, y que sin duda, viene a mejorar y aportar sobre las prácticas que antaño se realizaban en seguridad de la información, sobre todo centralizadas en gestión de incidencias sin abrirse a los horizontes que nos acerca la mejora continua.
La mejora de nuestro SGSI viene recogida en todo el Capítulo 8 de ISO 27001:2005. Incluye como apartados: 8.1 ‘Mejora continua’, 8.2 ‘Acción correctiva’ y 8.3 ‘Acción preventiva’.
En las siguientes líneas, trataremos cada uno de los requisitos solicitados por la norma aportando conocimientos previos respecto del particular y las consideraciones más importantes a tener en cuenta.
8.1.- Mejora continua.- La organización debe mejorar de forma continua la eficacia del SGSI a través del uso de la Política de Seguridad de la Información, Objetivos de Seguridad de la Información, resultados de auditorías, análisis de eventos monitorizados, acciones correctivas y preventivas y la revisión por la dirección.
Este es un apartado de generalidades al uso, esto es, nos especifica cosas que debemos tener satisfechas a la hora de alegar conformidad con ISO 27001, pero que se cumplen con la implantación de las sistemáticas y cumplimiento de requisitos especificados en otras partes de la propia ISO 27001. Naturalmente, debemos mejorar la eficacia de nuestro SGSI a partir de la Política y Objetivos de Calidad por razones evidentes. Los resultados de auditorías también son fuente de inexcusable valía para la mejora continua, conforme mostramos en un post anterior. El análisis de eventos monitorizados, constituyen una parcela sumamente interesante, pues nos introduce los conceptos de control, métricas e indicadores. Analizar los datos acerca de cómo van nuestros procesos o determinados eventos que hemos monitorizado para controlar cómo transcurren en el día a día de la organización, naturalmente podemos entender que es un aspecto de suma importancia. Todo lo referente a acciones correctivas y preventivas, lo veremos en los dos apuntes siguientes. El tema de revisión por la dirección del SGSI, ya fue tratado en este post anterior.
8.2.- Acción correctiva.- La organización debe tomar acciones para eliminar la causa de las no conformidades respecto de los requisitos del SGSI de cara a evitar que éstas vuelvan a ocurrir. El procedimiento documentado para acción correctiva debe definir los requisitos para: - identificar no conformidades, - determinar la causa de las no conformidades, - evaluar la necesidad de acciones para asegurar que éstas no vuelven a ocurrir, - determinar e implementar la acción correctiva requerida, - registrar los resultados de la acción acometida, - revisar la acción correctiva acometida.
Bien, pues para cumplir lo especificado en ISO 27001 para acciones correctivas, debemos de cumplir todo lo anterior. Se destaca la necesidad de realizar un procedimiento documentado de acciones correctivas, el cual debe de incluir una sistemática correcta para determinación de no conformidades como se nos solicita. En ISO 9001 teníamos tres procedimientos documentados solicitados de forma separada. De un lado, el correspondiente al apartado de no conformidades, el de acciones correctivas y el de acciones preventivas, los cuales eran perfectamente integrables en un único documento a modo de procedimiento integrador de los tres conceptos.
Centrándonos en la identificación de no conformidades a nuestro SGSI, deberíamos incluir en ese procedimiento criterios para determinar quién debe detectar las no conformidades en nuestra organización (usualmente y debe ser así: todos), quién puede abrir partes formales de no conformidad (el Responsable de Seguridad, todos, sólo los directores de área, …), cuáles deben ser los cauces formales de información (se da de alta en la aplicación que tenemos en la Intranet, se comenta de forma verbal al Security Manager, se deja por escrito en un determinado formato, …), etc. Naturalmente tendremos que tener un soporte donde registremos cuál ha sido esa no conformidad, siendo lo usual crear un formato al efecto o habilitar cualquier tipo de aplicación para gestionarlas (lo cual resulta mucho más cómodo, sobre todo con la aplicación de bases de datos con interfaces sencillos que evite la pereza del personal a la hora de cumplimentar estos registros).
Una vez determinada la metodología para la identificación de la NC, debemos determinar qué la ha causado. Debemos buscar la causa de la NC y no quedarnos en la superficie del problema. Un ejemplo sencillo puede ser el que un usuario deje información catalogada como 'sensible' en la bandeja de salida de la impresora mientras se va a desayunar (las prisas de hoy en día, ya se sabe). Quizás, nuestra política al efecto impide esta actuación. La causa de esta no conformidad puede que no sea que el empleado sea un ‘rebelde sin causa’. La verdadera causa puede ser que no ha sido formado debidamente en la política específica de seguridad para el particular y que, encima, ni se le ha mencionado que nuestro SGSI tiene una serie de premisas que no pueden verse violadas (falta de formación e información).
Una vez determinada la NC y conocida la causa, debemos determinar qué tipo de acción se requiere por nuestra parte. Esto, naturalmente, va en función de la naturaleza de la NC y de las acciones que causa su manifestación y, naturalmente, debemos centrarnos en la causa que genera la NC. Determinada la acción a acometer, debemos de implantarla y hacer un seguimiento de la acción para poder determinar si realmente ha sido una medida eficaz.
8.3.- Acción preventiva.- La organización debe determinar acciones para eliminar la causa de no conformidades potenciales respecto de los requisitos del SGSI de cara a prevenir que estas ocurran. Las acciones preventivas tomadas deben de ser apropiadas al impacto de los potenciales problemas. El procedimiento documentado para acciones preventivas debe definir requisitos para: - identificar no conformidades potenciales y sus causas, - evaluar la necesidad de acciones para prevenir la ocurrencia de no conformidades, - determinar e implementar las acciones preventivas requeridas, - registrar los resultados de las acciones acometidas, - revisar la acción preventiva acometida. La organización debe determinar los riesgos que han cambiado e identificar los requisitos de las acciones preventivas centrando la atención en cambios significativos en los riesgos. La prioridad de las acciones preventivas debe determinarse en base a los resultados del Risk Assessment. Nota: Las acciones para prevenir no conformidades son usualmente más eficaces en cuanto a coste que las acciones correctivas.
Bien, pues al igual que para las acciones correctivas, toda la metodología relacionada con acciones preventivas debe quedar en un procedimiento documentado. Sobre la identificación de no conformidades potenciales, se incluirá o tratará en el procedimiento junto con las no conformidades materializadas, vistas con anterioridad al hablar de acciones correctivas (hablamos de un único procedimiento que integre ambas sistemáticas aunque podrían ser procedimientos separados). Al igual que antes, el esfuerzo debe centralizarse en identificar las posibles causas de esa no conformidad potencial, analizar posibles actuaciones a acometer, implantarlas, realizar el correspondiente seguimiento, con la verificación y comprobación de la eficacia, todo ello debidamente registrado.
Pero en este caso, ISO 27001 hace un aporte adicional, como no podría ser de otra forma, pues hace referencia a cambios en la estructura de riesgos a los que se ve sometida la organización. Naturalmente, la aplicación de acciones preventivas no debe realizarse sin criterio alguno. La norma solicita como base los resultados del Risk Assessment de nuestro sistema, el cual aportará una priorización de la aplicación de estas acciones preventivas.
La nota que aporta el estándar al finalizar el texto de acciones preventivas es muy interesante y significativa, a la vez que real, esto es, normalmente las acciones preventivas que la organización acomete presentan un mejor rendimiento en términos de coste que las acciones correctivas. La razón, pues que en la acción correctiva, el problema ya nos lo hemos almorzado convenientemente, con lo cual, debemos de disponer recursos normalmente de mayor importe para paliar tanto las causas que originaron la no conformidad como las posibles correcciones asociadas que ello genera.
Distinción entre corrección, acción correctiva y acción preventiva
Una de las cosas que más he podido ver en los sistemas de gestión con los que he tenido contacto es que los usuarios de los mismos, en multitud de ocasiones, no saben distinguir bien entre lo que son meras correcciones puntuales, las acciones correctivas y las acciones preventivas. Respecto del particular, pretendo explicarlo con el siguiente ejemplo:
Imaginaos que tenemos una empresa que se dedica a la fabricación y distribución de jarrones de alto valor con pictogramas únicos en el mundo realizados con una pintura única en el mundo. Las cajas con los jarrones están en nuestro almacén y un buen día … pues llueve. Tenemos que servir un pedido y el agua, por una gotera del techo, cae sobre las cajas y las destroza sin incidir sobre los jarrones.
Si cogemos las cajas, las cambiamos y las servimos al cliente sin más, estamos haciendo una corrección, al margen de ser los seres más afortunados del mundo pues no se ha fastidiado la pintura. Cambiamos lo deteriorado y seguimos tan normal. Pero de esta forma no he eliminado la causa de la no conformidad. La causa fundamental es que tenemos goteras, y tenemos que reparar el techo (o hacer que no llueva más, que por el camino que vamos …).
Si subo a un operario a repara la techumbre y tapa las goteras, estamos eliminando la causa de la no conformidad, por lo que realmente estamos haciendo una acción correctiva.
Queda el ejemplo de una acción preventiva, pues puede ser el siguiente. Nuestro jefe de almacén nos dice que es una imprudencia transportar las cajas de jarrones sin acolchar las furgonetas con espuma, sobre todo para el nuevo modelo que estamos comercializando. Sin embargo, todavía no hemos sufrido ninguna rotura de ningún artículo de esta nueva línea. Como directores de área, decidimos poner una capa de espuma a modo de revestimiento interno de las furgonetas y además, sujetamos las cajas con pulpos o sistemas de sujeción similar. En este caso estamos aplicando una acción preventiva, la cual nos previne ante roturas de artículos.
La mejora continua es una de las piedras angulares sobre las que tenemos que desarrollar nuestro SGSI. La incorporación de esta sistemática a la tradicional Seguridad de la Información, debe verse como una más que buena herramienta sobre la que apoyarnos para hacer nuestros sistemas cada vez más seguros. La seguridad al 100 % sabemos todos que es prácticamente imposible, y más aun conforme avanza la tecnología, la seguridad y las técnicas para burlar dicha seguridad, pero intentar mejorar aprendiendo, entre otros, de nuestros propios errores o de la evolución de los mercados tecnológicos, debe ser visto como una prioridad.
Fuente: http://iso9001-iso27001-gestion.blogspot.com/2006/11/mejora-continua-de-un-sgsi-segun-iso.html
___
Como parte vital (como todas ellas) en el ciclo PDCA, constituye una sistemática que aporta el aprender de nuestros errores, el ir más allá, el acometer actuaciones para satisfacer ciertas debilidades, el adelantarse a posibles eventos desagradables antes de que estos sucedan, etc.
Constituye un aporte adicional a los sistemas de seguridad de la información tradicionales, los cuales despliegan controles para salvaguardar la información propiedad de la organización, pero sin adoptar estándares soportados por el ciclo PDCA. Digamos que es una de las metodologías que nos brinda ISO 27001 como estándar de gestión, y que sin duda, viene a mejorar y aportar sobre las prácticas que antaño se realizaban en seguridad de la información, sobre todo centralizadas en gestión de incidencias sin abrirse a los horizontes que nos acerca la mejora continua.
La mejora de nuestro SGSI viene recogida en todo el Capítulo 8 de ISO 27001:2005. Incluye como apartados: 8.1 ‘Mejora continua’, 8.2 ‘Acción correctiva’ y 8.3 ‘Acción preventiva’.
En las siguientes líneas, trataremos cada uno de los requisitos solicitados por la norma aportando conocimientos previos respecto del particular y las consideraciones más importantes a tener en cuenta.
8.1.- Mejora continua.- La organización debe mejorar de forma continua la eficacia del SGSI a través del uso de la Política de Seguridad de la Información, Objetivos de Seguridad de la Información, resultados de auditorías, análisis de eventos monitorizados, acciones correctivas y preventivas y la revisión por la dirección.
Este es un apartado de generalidades al uso, esto es, nos especifica cosas que debemos tener satisfechas a la hora de alegar conformidad con ISO 27001, pero que se cumplen con la implantación de las sistemáticas y cumplimiento de requisitos especificados en otras partes de la propia ISO 27001. Naturalmente, debemos mejorar la eficacia de nuestro SGSI a partir de la Política y Objetivos de Calidad por razones evidentes. Los resultados de auditorías también son fuente de inexcusable valía para la mejora continua, conforme mostramos en un post anterior. El análisis de eventos monitorizados, constituyen una parcela sumamente interesante, pues nos introduce los conceptos de control, métricas e indicadores. Analizar los datos acerca de cómo van nuestros procesos o determinados eventos que hemos monitorizado para controlar cómo transcurren en el día a día de la organización, naturalmente podemos entender que es un aspecto de suma importancia. Todo lo referente a acciones correctivas y preventivas, lo veremos en los dos apuntes siguientes. El tema de revisión por la dirección del SGSI, ya fue tratado en este post anterior.
8.2.- Acción correctiva.- La organización debe tomar acciones para eliminar la causa de las no conformidades respecto de los requisitos del SGSI de cara a evitar que éstas vuelvan a ocurrir. El procedimiento documentado para acción correctiva debe definir los requisitos para: - identificar no conformidades, - determinar la causa de las no conformidades, - evaluar la necesidad de acciones para asegurar que éstas no vuelven a ocurrir, - determinar e implementar la acción correctiva requerida, - registrar los resultados de la acción acometida, - revisar la acción correctiva acometida.
Bien, pues para cumplir lo especificado en ISO 27001 para acciones correctivas, debemos de cumplir todo lo anterior. Se destaca la necesidad de realizar un procedimiento documentado de acciones correctivas, el cual debe de incluir una sistemática correcta para determinación de no conformidades como se nos solicita. En ISO 9001 teníamos tres procedimientos documentados solicitados de forma separada. De un lado, el correspondiente al apartado de no conformidades, el de acciones correctivas y el de acciones preventivas, los cuales eran perfectamente integrables en un único documento a modo de procedimiento integrador de los tres conceptos.
Centrándonos en la identificación de no conformidades a nuestro SGSI, deberíamos incluir en ese procedimiento criterios para determinar quién debe detectar las no conformidades en nuestra organización (usualmente y debe ser así: todos), quién puede abrir partes formales de no conformidad (el Responsable de Seguridad, todos, sólo los directores de área, …), cuáles deben ser los cauces formales de información (se da de alta en la aplicación que tenemos en la Intranet, se comenta de forma verbal al Security Manager, se deja por escrito en un determinado formato, …), etc. Naturalmente tendremos que tener un soporte donde registremos cuál ha sido esa no conformidad, siendo lo usual crear un formato al efecto o habilitar cualquier tipo de aplicación para gestionarlas (lo cual resulta mucho más cómodo, sobre todo con la aplicación de bases de datos con interfaces sencillos que evite la pereza del personal a la hora de cumplimentar estos registros).
Una vez determinada la metodología para la identificación de la NC, debemos determinar qué la ha causado. Debemos buscar la causa de la NC y no quedarnos en la superficie del problema. Un ejemplo sencillo puede ser el que un usuario deje información catalogada como 'sensible' en la bandeja de salida de la impresora mientras se va a desayunar (las prisas de hoy en día, ya se sabe). Quizás, nuestra política al efecto impide esta actuación. La causa de esta no conformidad puede que no sea que el empleado sea un ‘rebelde sin causa’. La verdadera causa puede ser que no ha sido formado debidamente en la política específica de seguridad para el particular y que, encima, ni se le ha mencionado que nuestro SGSI tiene una serie de premisas que no pueden verse violadas (falta de formación e información).
Una vez determinada la NC y conocida la causa, debemos determinar qué tipo de acción se requiere por nuestra parte. Esto, naturalmente, va en función de la naturaleza de la NC y de las acciones que causa su manifestación y, naturalmente, debemos centrarnos en la causa que genera la NC. Determinada la acción a acometer, debemos de implantarla y hacer un seguimiento de la acción para poder determinar si realmente ha sido una medida eficaz.
8.3.- Acción preventiva.- La organización debe determinar acciones para eliminar la causa de no conformidades potenciales respecto de los requisitos del SGSI de cara a prevenir que estas ocurran. Las acciones preventivas tomadas deben de ser apropiadas al impacto de los potenciales problemas. El procedimiento documentado para acciones preventivas debe definir requisitos para: - identificar no conformidades potenciales y sus causas, - evaluar la necesidad de acciones para prevenir la ocurrencia de no conformidades, - determinar e implementar las acciones preventivas requeridas, - registrar los resultados de las acciones acometidas, - revisar la acción preventiva acometida. La organización debe determinar los riesgos que han cambiado e identificar los requisitos de las acciones preventivas centrando la atención en cambios significativos en los riesgos. La prioridad de las acciones preventivas debe determinarse en base a los resultados del Risk Assessment. Nota: Las acciones para prevenir no conformidades son usualmente más eficaces en cuanto a coste que las acciones correctivas.
Bien, pues al igual que para las acciones correctivas, toda la metodología relacionada con acciones preventivas debe quedar en un procedimiento documentado. Sobre la identificación de no conformidades potenciales, se incluirá o tratará en el procedimiento junto con las no conformidades materializadas, vistas con anterioridad al hablar de acciones correctivas (hablamos de un único procedimiento que integre ambas sistemáticas aunque podrían ser procedimientos separados). Al igual que antes, el esfuerzo debe centralizarse en identificar las posibles causas de esa no conformidad potencial, analizar posibles actuaciones a acometer, implantarlas, realizar el correspondiente seguimiento, con la verificación y comprobación de la eficacia, todo ello debidamente registrado.
Pero en este caso, ISO 27001 hace un aporte adicional, como no podría ser de otra forma, pues hace referencia a cambios en la estructura de riesgos a los que se ve sometida la organización. Naturalmente, la aplicación de acciones preventivas no debe realizarse sin criterio alguno. La norma solicita como base los resultados del Risk Assessment de nuestro sistema, el cual aportará una priorización de la aplicación de estas acciones preventivas.
La nota que aporta el estándar al finalizar el texto de acciones preventivas es muy interesante y significativa, a la vez que real, esto es, normalmente las acciones preventivas que la organización acomete presentan un mejor rendimiento en términos de coste que las acciones correctivas. La razón, pues que en la acción correctiva, el problema ya nos lo hemos almorzado convenientemente, con lo cual, debemos de disponer recursos normalmente de mayor importe para paliar tanto las causas que originaron la no conformidad como las posibles correcciones asociadas que ello genera.
Distinción entre corrección, acción correctiva y acción preventiva
Una de las cosas que más he podido ver en los sistemas de gestión con los que he tenido contacto es que los usuarios de los mismos, en multitud de ocasiones, no saben distinguir bien entre lo que son meras correcciones puntuales, las acciones correctivas y las acciones preventivas. Respecto del particular, pretendo explicarlo con el siguiente ejemplo:
Imaginaos que tenemos una empresa que se dedica a la fabricación y distribución de jarrones de alto valor con pictogramas únicos en el mundo realizados con una pintura única en el mundo. Las cajas con los jarrones están en nuestro almacén y un buen día … pues llueve. Tenemos que servir un pedido y el agua, por una gotera del techo, cae sobre las cajas y las destroza sin incidir sobre los jarrones.
Si cogemos las cajas, las cambiamos y las servimos al cliente sin más, estamos haciendo una corrección, al margen de ser los seres más afortunados del mundo pues no se ha fastidiado la pintura. Cambiamos lo deteriorado y seguimos tan normal. Pero de esta forma no he eliminado la causa de la no conformidad. La causa fundamental es que tenemos goteras, y tenemos que reparar el techo (o hacer que no llueva más, que por el camino que vamos …).
Si subo a un operario a repara la techumbre y tapa las goteras, estamos eliminando la causa de la no conformidad, por lo que realmente estamos haciendo una acción correctiva.
Queda el ejemplo de una acción preventiva, pues puede ser el siguiente. Nuestro jefe de almacén nos dice que es una imprudencia transportar las cajas de jarrones sin acolchar las furgonetas con espuma, sobre todo para el nuevo modelo que estamos comercializando. Sin embargo, todavía no hemos sufrido ninguna rotura de ningún artículo de esta nueva línea. Como directores de área, decidimos poner una capa de espuma a modo de revestimiento interno de las furgonetas y además, sujetamos las cajas con pulpos o sistemas de sujeción similar. En este caso estamos aplicando una acción preventiva, la cual nos previne ante roturas de artículos.
La mejora continua es una de las piedras angulares sobre las que tenemos que desarrollar nuestro SGSI. La incorporación de esta sistemática a la tradicional Seguridad de la Información, debe verse como una más que buena herramienta sobre la que apoyarnos para hacer nuestros sistemas cada vez más seguros. La seguridad al 100 % sabemos todos que es prácticamente imposible, y más aun conforme avanza la tecnología, la seguridad y las técnicas para burlar dicha seguridad, pero intentar mejorar aprendiendo, entre otros, de nuestros propios errores o de la evolución de los mercados tecnológicos, debe ser visto como una prioridad.
Fuente: http://iso9001-iso27001-gestion.blogspot.com/2006/11/mejora-continua-de-un-sgsi-segun-iso.html
___
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!