👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
ISO 27001 en su versión 2013: 9.3, 10.1, 10.2
ISO 27001 en su versión 2022: 9.3.1, 9.3.2, 9.3.3, 10.1, 10.2
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a documentar las acciones que llevarás a cabo para corregir los hallazgos o anomalías encontrados en tu programa de seguridad, y mantener un seguimiento oportuno de su aplicación.
¿Qué tengo que hacer? 🚀
💡 El seguimiento de las acciones correctivas y de mejora es muy importante para el cumplimiento normativo, por lo tanto, toda la información relevante debe quedar documentada.
Así que, para lograr esta actividad, te recomendamos realizar los siguientes pasos:
Valida la información del reporte de auditoría. El template que te proporcionamos para esta actividad te solicita registrar información que el auditor interno te brindó dentro del reporte de resultados. Por lo que, para agilizar el llenado de este plan, te sugerimos comenzar por colocar toda la información que venga en el reporte, que corresponde a:
Descripción del hallazgo / Oportunidad de mejora.
Fuente (u origen de los hallazgos, que en este caso sería “auditoría interna”).
Tipo de evento (o tipo de hallazgo, dentro del template te proporcionamos el listado de opciones aplicables).
Requerimiento / Control relacionado.
La información solicitada en el template está ligada al reporte de auditoría interna para facilitarte el llenado del documento, pero recuerda que el reporte de auditoría externa generalmente proporciona la misma información (puede variar dependiendo la entidad certificadora con la que trabajes), pero te sugerimos utilizar este plan, o por lo menos el formato, para llevar el seguimiento de todos los hallazgos de tu programa de seguridad 📑.
Entiende el hallazgo, analiza su frecuencia y su causa raíz. Es esencial comprender de dónde viene el hallazgo, por qué apareció y si es un evento recurrente. De esta forma, podrás identificar las acciones más adecuadas para corregirlo. Esto también debe quedar documentado dentro del plan de tratamiento.
Si es un evento recurrente, te sugerimos también definir y aplicar acciones preventivas que te ayuden a mitigar su ocurrencia.
Como bien lo hemos mencionado en otros artículos, uno de los métodos más comunes y eficientes que puedes utilizar para encontrar la causa raíz de los hallazgos es el de los 5 porqués, el cual consiste en cuestionarte, por lo menos cinco veces, el por qué ocurre dicho problema o situación.
Si deseas conocer más sobre cómo usar este método, te recomendamos ampliamente leer el siguiente artículo: Proceso de aplicación del método de los 5 Porqués (5 Whys).
Planifica la implementación de las acciones. Una vez que ya hayas definido las acciones correctivas y/o preventivas para abordar los hallazgos o anomalías de tu programa de seguridad, es importante que planifiques su implementación. Esto lo vas a lograr de la siguiente forma:
Describiendo claramente las tareas a realizar a corto y mediano plazo.
Asignando a los responsables más adecuados para llevar a cabo dichas tareas.
Identificando las fechas de identificación de los hallazgos o anomalías. Para el caso de las auditorías, puedes indicar la fecha en la que se llevó a cabo el ejercicio.
Implementa las acciones. Teniendo ya una planificación definida, debes comunicarla a tu comité de seguridad y/o alta dirección, así como también a todos los responsables involucrados. ¡Solicita toda la ayuda necesaria que te permita asegurar la efectividad de estas acciones, y dale prioridad a las no conformidades mayores!
Monitorea y da seguimiento. Debes asegurarte que el hallazgo o anomalía fue atendido y corregido correctamente. Para ello, debes monitorear la implementación de las tareas, validar si se requieren más recursos de los ya otorgados, si debes redefinir las acciones correctivas, si existe algún bloqueante, o cualquier otra situación que requiera tu atención.
La información asociada a este monitoreo también debe quedar documentada, incluyendo por lo menos el estatus del hallazgo (cerrado, en proceso de corrección, pendiente, etcétera), la periodicidad de revisión, la próxima fecha estimada de revisión, y el estatus de dicha revisión.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu plan fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Selecciona el método de análisis de causa raíz que te parezca más conveniente. ¡Solo no olvides documentarlo!
Recuerda que esta actividad debe estar alineada a tu Procedimiento de Acciones Correctivas y de Mejora.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.