👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
ISO 27001 en su versión 2013: 5.2, 9.3, 10.1, 10.2
ISO 27001 en su versión 2022: 5.2, 9.3.1, 9.3.2, 9.3.3, 10.1, 10.2
Y el siguiente control:
ISO 27001 en su versión 2013: A.12.1.1
ISO 27001 en su versión 2022: A.5.37
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a establecer un procedimiento para documentar los hallazgos (no conformidades, observaciones y oportunidades de mejora), que se identifiquen en tu programa de seguridad, para darles el tratamiento y seguimiento adecuado.
¿Qué tengo que hacer? 🚀
Para generar este procedimiento te recomendamos definir cómo realizarás las siguientes tareas:
Revisión de los hallazgos. Los hallazgos a revisar se originan principalmente de la aplicación de auditorías internas y externas. Por lo que, una vez que tengas los reportes correspondientes de alguno o ambos ejercicios de auditoría, es importante que el responsable a cargo, analice los resultados obtenidos para priorizar e identificar las acciones correctivas que se deben tomar.
Clasificación / Priorización. Al revisar los hallazgos, será necesario identificar cuáles serán los que se deben atender primero, es decir aquellos con mayor impacto en tu programa de seguridad. Esto con el objetivo de enfocar los recursos y esfuerzos correctamente. Para los tipos de hallazgos de una auditoría, la priorización debe ser la siguiente:
Primero las no conformidades mayores.
Luego, las no conformidades menores.
Seguido de las observaciones.
Y finalmente, las oportunidades de mejora.
Análisis de la causa raíz. La definición adecuada de las acciones correctivas, requiere de un análisis de las causas raíz de los hallazgos, para conocer realmente de dónde vienen, y con ello saber cómo solucionarlos correctamente. El método que Hackmetrix te recomienda utilizar es el “5 Porqués (5 Whys)”.
Dentro de la actividad te proporcionamos un template para facilitar el análisis de los “5 Porqués” de tus hallazgos. Para mayor comprensión de este tema te recomendamos leer nuestro artículo Proceso de aplicación del método de los 5 porqués (5 Whys).
Registro de las acciones correctivas. Una vez identificada la causa raíz de cada uno de los hallazgos, debes determinar y documentar las acciones correctivas que sean necesarias para remediarlos. Para realizar este registro, te proporcionamos un template dentro de la actividad 56, que corresponde al Plan de Tratamiento de Acciones Correctivas y de Mejora, donde deberás ingresar toda la información solicitada para llevar un seguimiento adecuado y cubrir los requisitos normativos.
Implementación de las acciones correctivas. Para implementar las acciones correctivas definidas en el plan de tratamiento mencionado en el punto anterior, es muy importante involucrar a todas las áreas y/o colaboradores que sean necesarios para poder dar remediación a los hallazgos. Una vez implementadas las acciones, debes dejar como información documentada (dentro del mismo plan de tratamiento) los responsables que participaron y la fecha de cierre del hallazgo, así como también generar toda la evidencia pertinente que demuestre dicha remediación.
Revisión de las acciones correctivas implementadas. Se recomienda revisar y evaluar la eficacia de las acciones implementadas para asegurar que resolvieron el hallazgo. Para esto, puedes apoyarte de las métricas e indicadores establecidos para tu SGSI, o definir una nueva medición para cada uno de los hallazgos tratados.
Recuerda que es muy importante generar la evidencia pertinente que soporte la ejecución de cada uno de los pasos de este procedimiento.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Atiende primero las no conformidades (mayores y menores), pero también te sugerimos planificar con anticipación las acciones para tratar las observaciones y las oportunidades de mejora.
Si lo consideras conveniente, investiga algún otro método de análisis de causa raíz y úsalo. Lo más importante es asegurar que sea lo más alineado a tus necesidades reales, y que te proporcione la información pertinente para la identificación de tus acciones correctivas. ¡Solo no olvides documentar el análisis!
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.