este es una breve descripción de las SGSI que es un sistema de gestion de seguridad

1. Introducción a los Sistemas de Gestión
de Seguridad de la Información (SGSI)
Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE-
ISO/IEC 27001, es una parte del sistema de gestión general, basada en un enfoque de
riesgo empresarial, que se establece para crear, implementar, operar, supervisar,
revisar, mantener y mejorar la seguridad de la información.

2. SGSI
La norma es compatible con el resto de las normas ISO para sistemas de gestión
(UNE-EN ISO 9001 y UNE-EN ISO 14001) y poseen identica estructura y requisitos
comunes, por lo que se recomienda integrar el SGSI con el resto de los sistemas
de gestión que existan en la empresa para no duplicar esfuerzos.

3. El ciclo de mejora continua o ciclo de
deming
Para establecer y gestionar un sistema de gestión de la seguridad de la
información se utiliza el ciclo PDCA (conocido también como ciclo Deming),
tradicional en los sistemas de gestión de la calidad (ve ase la figura 1.1). El ciclo
PDCA es un concepto ideado originalmente por Stewart, pero adaptado a lo largo
del tiempo por algunos de los mas sobresalientes personajes del mundo de la
calidad. Esta metodología ha demostrado su aplicabilidad y ha permitido
establecer la mejora continua en organizaciones de todas clases.

4. ciclo de deming
El modelo PDCA o “Planificar-Hacer-Verificar-Actuar” (Plan-Do-Check-Act, de sus
siglas en ingles), tiene una serie de fases y acciones que permiten establecer un
modelo de indicadores y métricas comparables en el tiempo, de manera que se
pueda cuantificar el avance en la mejora de la organización

5. Plan
Plan Esta fase se corresponde con establecer el SGSI. Se planifica y diseña el
programa, sistematizando las políticas a aplicar en la organización, cuales son los
fines a alcanzar y en que ayudaran a lograr los objetivos de negocio, que medios
se utilizaran para ello, los procesos de negocio y los activos que los soportan,
como se enfocara el análisis de riesgos y los criterios que se seguirán para
gestionar las contingencias de modo coherente con las políticas y objetivos de
seguridad.

6. Do
Es la fase en la que se implementa y pone en funcionamiento el SGSI. Las
políticas y los controles escogidos para cumplirlas se implementan mediante
recursos técnicos, procedimientos o ambas cosas a la vez, y se asignares
pensables a cada tarea para comenzar a ejecutarlas según las instrucciones.

7. Check
 Esta fase es la de monitorización y revisión del SGSI. Hay que controlar que
los procesos se ejecutan como se ha establecido, de manera eficaz y
eficiente, alcanzando los objetivos definidos para ellos. Además, hay que
verificar el grado de cumplimiento de las políticas y procedimientos,
identificando los fallos que pudieran existir y, hasta donde sea posible, su
origen, mediante revisiones y auditorias.

8. Act
 Es la fase en la que se mantiene y mejora el SGSI, decidiendo y efectuandolas
acciones preventivas y correctivas necesarias para rectificar los fallos,
detectados en las auditorias internas y revisiones del SGSI, o cualquier otra
informacion relevante para permitir la mejora permanente del SGSI

10. Origen de la norma
ISO (Organizacion Internacional de Normalizacion) e IEC (Comision Electrotecnica
Internacional) constituyen el sistema especializado para la normalizacion a nivel
mundial. Los organismos nacionales que son miembros de ISO o IEC participan en
el desarrollo de las normas internacionales a traves de comites técnicos
establecidos por las organizaciones respectivas para realizar acuerdos en campos
especificos de la actividad tecnica. Los comites tecnicos de ISO e IEC colaboran
en los campos de interes mutuo.
La Norma Internacional ISO/IEC 27002 fue preparada inicialmente por el Instituto
de Normas Britanico (como BS 7799), y adoptada bajo la supervision del
subcomité de tecnicos de seguridad del comite tecnico ISO/IEC JTC 1, en
paralelo con su aprobacion por los organismos nacionales miembros de ISO e IEC.

11. El Esquema Nacional de Seguridad (ENS)
La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los
Servicios Públicos esta siendo el motor y la guía de la administración electrónica.
Esta ley ha dado paso a una nueva etapa en la gestión de la Administración
Publica, impulsando la adopción de los medios tecnológicos actualmente
disponibles para realizar tareas de gestión y facilitando a los ciudadanos el
acceso a la Administración Publica en contextos mas adecuados a la realidad
social.
El ENS esta regulado por el Real Decreto 3/2010, de 8 de enero, que recoge los
requisitos técnicos y organizativos que se deben cumplir para proteger la
información dentro del ámbito de aplicación del mismo. Por tanto, se puede
decir que trata la protección de la información y de los servicios en el ámbito de
la administración electrónica y que, a la luz de principios y requisitos
generalmente reconocidos, exige la gestión continuada de la seguridad,
aplicando un sistema de gestión de seguridad de la información.

12. Objeto y campo de aplicación
 El objeto del ENS es garantizar la seguridad de los servicios prestados
mediante medios electrónicos, de manera que los ciudadanos puedan realizar
cualquier tramite con la confianza de que va a tener validez jurídica plena y
que sus datos van a ser tratados de manera segura.
 Toda la Administración Publica española, Administración General del Estado,
Administraciones de las Comunidades Autónomas, Administraciones Locales,
así como las entidades de derecho publico vinculadas o dependientes de las
mismas, están sujetas al cumplimiento de los requisitos del ENS.
 Su ámbito de aplicación son los sistemas de información, los datos, las
comunicaciones y los servicios electrónicos, que permitan a los ciudadanos y a
las Administraciones Publicas el ejercicio de derechos y el cumplimiento de
deberes a través de medios electrónicos.

13. Requisitos generales del sistema de gestión
de la seguridad
Los requisitos que exige este estandar internacional son genericos y aplicables a
la totalidad de las organizaciones, independientemente de su tamano o sector de
actividad. En particular, no se acepta la exclusion de los requerimientos
especificados en los apartados 4, 5, 6, 7 y 8 cuando una organizacion solicite su
conformidad con esta norma. Estos apartados son las que realmente conforman
el cuerpo principal de la norma:
 Sistema de gestion de la seguridad de la informacion.
 Responsabilidad de la direccion.
 Auditorias internas del SGSI.
 Revision del SGSI por la direccion.
 Mejora del SGSI.

14. El sistema constara de una
documentación en varios niveles
 Politicas, que proporcionan las guias generales de actuacion en cada caso.
 Procedimientos, que dan las instrucciones para ejecutar cada una de las
tareas previstas.
 Registros, que son las evidencias de que se han llevado a cabo las actuaciones
establecidas.

16. Establecimiento del SGSI
Los requisitos en muchos casos no se encuentran definidos. La organizacion sabe,
en terminos generales, que nivel de seguridad desea, pero no existen
mecanismos para expresarlo y documentarlo. Hay que concretar esas necesidades
que se perciben para poder comenzar el diseno del SGSI. Sabiendo que se
necesita se podrán proponer opciones y tomar decisiones. Es fundamental no
comprometer recursos dificiles de conseguir. Hay que ser realista con los recursos
disponibles en cada momento y dimensionar el proyecto de acuerdo con las
prioridades del negocio.

17. Ciclo SGSI

18. Cuando una empresa decide adaptarse a esta norma,
básicamente se emprenderán las actividades que se
detallan a continuación, y que como tienen que ser
documentadas, al finalizarlas, el SGSI contara ya con los
siguientes documentos:
 Politica de seguridad, que contendra las directrices generales a las que
se ajustara la organizacion en cuanto a seguridad, asi como la estrategia
a seguir a la hora de establecer objetivos y lineas de actuacion. La
politica estara alineada con el resto de los objetivos del negocio y
politicas de gestion que existan en la organizacion. Esta politica estara
aprobada por la direccion.

19.  Inventario de activos, que detallara los activos dentro del alcance del SGSI, asi como los
propietarios y la valoracion de tales activos.
 Analisis de riesgos, con los riesgos identificados basandose en la politica de la organizacion
sobre seguridad de la informacion y el grado de seguridad requerido.
 Las decisiones de la direccion respecto a los riesgos identificados, asi como la aprobacion de los
riesgos residuales.
 Documento de aplicabilidad con la relacion de los controles que son aplicables para conseguir el
nivel de riesgo residual aprobado por la direccion.

21. Definición del alcance del SGSI
 Es decir, sobre que proceso (o procesos) va a actuar, ya que no es necesaria la
aplicación de la norma a toda la entidad. Hay que evaluar los recursos que se
pueden dedicar al proyecto y si realmente es preciso abarcar toda la
organizacion. Normalmente es mas practico limitar el alcance del SGSI a
aquellos servicios, departamentos o procesos en los que resulte mas sencillo,
bien porque el esfuerzo va a ser menor o porque la visibilidad del proyecto
(interna o externa) es mayor. En cualquier caso, hay que tener en cuenta que
dimensionar correctamente el proyecto es fundamental para alcanzar el
exito. Embarcarse en un proyecto costoso, complejo, que se alarga en el
tiempo, con falta de resultados, esta abocado al fracaso.

22. Definición de la política de seguridad
Decidir que criterios se van a seguir, estableciendo las principales lineas de acción que
se van a seguir para que la confidencialidad, la integridad y la disponibilidad queden
garantizadas. Esta política tendrá en cuenta los requisitos del negocio, los
contractuales y los legales y estatutarios que sean aplicables. Es primordial incorporar
en esta fase inicial las necesidades de la organización. Aunque a veces son difíciles de
expresar y documentar, es esencial que el SGSI este alineado con el resto de las
estrategias, planes y modos de funcionar de la organización para que pueda integrarse
en el día a día sin complicaciones y rindiendo resultados desde el principio. Cuando
resulte posible, será útil recopilar los documentos de seguridad existentes en la
organización para incorporarlos desde el principio al sistema. La política de seguridad
debe dejar claras las normas básicas de seguridad en la organización, definiendo cual
va a ser el comportamiento de la misma en cuanto a los usos de la información y de
los sistemas, los accesos, como se gestionaran las incidencias, etc. Los empleados
deben conocer esta política y adherirse a ella, incluso formalmente si es necesario.

23. Identificación de los activos de
información
Se deben identificar junto con sus responsables. El SGSI va a proteger los activos
que queden dentro del alcance definido, por eso es vital listarlos todos, lo cual
no significa que haya que detallar cada componente de los sistemas de
informacion y cada documento que se maneje en la empresa, pero si es
indispensable identifica que activos son los que soportan los procesos de la
organizacion. Es decir, que hace falta para que la empresa funcione: los equipos,
las aplicaciones, los informes, los expedientes, las bases de datos, las
comunicaciones, etc. Para ello, lo primero es identificar los activos dentro del
alcance del SGSI (hardware, software, infraestructuras, aplicaciones, servicios,
etc.) junto con los responsables de estos activos.

24. Definición del enfoque del análisis de
riesgos
 Hay que decidir como se enfocara el análisis de riesgos. El análisis de riesgos
determinara las amenazas y vulnerabilidades de los activos de información
previamente inventariados. Esta tarea es crucial para el correcto diseño del
SGSI, puesto que de su resultado depende que se escojan unos controles u
otros, que son los que conformaran nuestro sistema.

25. Cómo escoger la metodología del análisis
de riesgos
Definir los criterios para aceptar los riesgos y seleccionar los controles, de manera
proporcional a los riesgos detectados y a los recursos disponibles. En la practica, el
punto de corte para decidir si se acepta un riesgo o no va a venir dado por los
recursos que se le puedan asignar al SGSI. Puesto que tendremos valores para cada
uno de los activos, se decidira a la vista de los mismos donde se halla el valor por
debajo del cual ya no podremos hacer mas de lo que se ha hecho. Aplicar controles
a todos los activos no suele ser viable ni organizativa ni economicamente. Una vez
definidos los limites, condicionantes y requisitos que debe cumplir el SGSI, puesto que
en la norma no se requiere que exista un Manual de seguridad en la linea de otras
normas de gestion, toda esta informacion debe quedar plasmada en parte de los
documentos que compondran el SGSI. En particular es necesario documentar en esta
fase:
• La politica de seguridad, que ademas debe aprobarse por la direccion.
• La metodologia a seguir para realizar el analisis de riesgos.

26. Tratamiento de los riesgos
Obtenidos los niveles de riesgo, hay que decidir si son aceptables o no, según el criterio fijado
previamente. Si no lo son, hay que evaluar como se van a tratar esos riesgos:
• Mitigar el riesgo. Es decir, reducirlo, mediante la implementación de controles que disminuyan
el riesgo hasta un nivel aceptable.
• Asumir el riesgo. La dirección tolera el riesgo, ya que esta por debajo de un valor de riesgo
asumible o bien porque no se puede hacer frente razonablemente a ese riesgo, por costoso o por
difícil. La dirección debe firmar que los activos con un valor de riesgo inferior no estarán
sometidos a controles que mitiguen el riesgo.
• Transferir el riesgo a un tercero. Por ejemplo, asegurando el activo que tiene el riesgo o
subcontratando el servicio. Aun así, evidenciar que la responsabilidad sobre el activo permanece
siempre en manos de la organización y tener en cuenta que hay danos, como los causados a la
reputación de la organización, que difícilmente son cubiertos por ningún seguro.
• Eliminar el riesgo. Aunque no suele ser la opción mas viable, ya que puede resultar complicado
o costoso.

27. Selección de controles
La norma especifica que los controles deben ser seleccionados de entre los
listados en el anexo A de la propia norma, es decir, los que la Norma UNE-ISO/IEC
27002 contiene. En caso necesario, se pueden anadir otros, pero esta lista de
controles es un solido punto de partida para elegir las medidas de seguridad
apropiadas para el SGSI, asegurando que ningun aspecto o control importante se
pasan por alto.
Un SGSI no tiene necesariamente que tener cubiertos todosy cada uno de los
riesgos a los que se esta expuesto, sino que tratara de mitigarlos de acuerdo con
las necesidades del negocio. Las necesidades de seguridad de un banco y de un
almacen de madera son radicalmente distintas, y eso significa quesus SGSI
tambien han de serlo. Nunca el coste de implementacion y mantenimiento de un
control debe superar a los beneficios que se esperan de el.

28. Gestión de riesgos
Una vez seleccionados los controles se repetira el analisis de riesgos, teniendo
encuenta ya todas las medidas de seguridad implementadas y aquellas elegidas
para hacerlo. El valor del riesgo obtenido sera el riesgo actual, en funcion del
que se determina el riesgo asumible por la organizacion, y se deciden las nuevas
estrategias y acciones para reducir los riesgos que esten por encima de ese valor.
Una tercera iteracion del analisis de riesgos que contemplan la medidas
previstas, nos dara los riesgos residuales.
La direccion debe aprobar el valor de riesgo aceptable y asumir el riesgo
residual.

29. Declaración de aplicabilidad
El siguiente requisito de la norma es la preparación de una declaración de
aplicabilidad, que debe incluir:
• Los objetivos de control y los controles seleccionados, con las razones de esta
selección.
• Los objetivos de control y los controles actualmente implementados, con una
justificación.
• La exclusión de cualquier control objetivo del control y de cualquier control en
el anexo A y la justificación para dicha exclusión.
Esta declaración de aplicabilidad sirve para comprobar que realmente se han
considerado todas las opciones de controles disponibles y que no se ha omitido
ninguno.

30. Implementación y puesta en marcha del
SGSI
La seguridad de la información es una cuestión multidisciplinar e importante para
cada proyecto y sistema y para todos los usuarios en la organización. La
asignación y delimitación de responsabilidades debe asegurar que se acometen
todas las tareas relevantes y que se llevan a cabo de un modo eficiente. Si bien
este objetivo puede lograrse a través de diversos esquemas, dependiendo de la
estructura y tamaño de la organización, en cualquier caso se ha de contar con la
designación de:
• Un responsable de seguridad, que coordine las tareas y esfuerzos en materia de
seguridad. Actuara como foco de todos los aspectos de seguridad de la
organización y sus responsabilidades cubrirán todas las funciones de seguridad.
• Un comite de seguridad que trate y busque soluciones a los temas de
seguridad, resuelva los asuntos interdisciplinarios y apruebe directrices y normas.

31. Control y revisión del SGSI
La revisión del SGSI forma parte de la fase del Check (comprobar) del ciclo PDCA.
Hay que controlar y revisar el SGSI de manera periódica para garantizar la
conveniencia, adecuación y eficacia continuas del sistema.
Las revisiones consistiran en estudiar los resultados de las auditorias de
seguridad, los incidentes, los resultados de la eficacia de las mediciones, las
sugerencias y las opiniones de todas las partes interesadas. Hay que medir la
eficacia de los controles para verificar que se han cumplido los requisitos de
seguridad.

32. Control y revisión del SGSI
hay que revisar los análisis del riesgo a intervalos planificados y examinar los
riesgos residuales, así como los niveles aceptables del riesgo, teniendo en cuenta
los cambios en la organización, la tecnología, los objetivos y procesos del
negocio, las amenazas identificadas, la eficacia de los controles implementados,
los cambios en el entorno legal o reglamentarios, cambios en las obligaciones
contractuales y cambios en el entorno social. Las auditorias internas del SGSI
también forman parte de esta fase de revisión.
Las revisiones del SGSI tienen que estar planificadas y gestionadas para asegurar
que el alcance continua siendo adecuado y que se han identificado mejoras en el
proceso del SGSI.

33. Requisitos de documentación
Por ello es necesario tener documentado:
• La politica y los objetivos del SGSI.
• El alcance del SGSI.
• Una descripcion de la metodologia de analisis del riesgo.
• El inventario de activos.
• Los procedimientos y controles de apoyo al SGSI.
• El analisis del riesgo.
• El plan de tratamiento del riesgo.
• La declaracion de aplicabilidad.
• Los procedimientos necesarios para la implementacion de los controles y para
asegurarse de que se cumplan los objetivos.
• Los registros requeridos por la norma.

34. Control de registros
Los registros son aquellos documentos que proporcionan evidencia de la
realización de actividades del SGSI. Con ellos se puede verificar el cumplimiento
de los requisitos. Ejemplo de registros son el libro de visitas, los informes de
auditorias y los logs de los sistemas.
Los registros estaran protegidos y controlados teniendo en cuenta cualquier
requisito de tipo legal, reglamentario u obligacion contractual. Permaneceran
legibles, facilmente identificables y recuperables. Los controles necesarios para
la identificacion, almacenamiento, proteccion, recuperacion, tiempo de
conservacion y disposición de los registros se encontraran documentados e
implementados.

35. Compromiso de la dirección
Uno de los requisitos fundamentales para poner en marcha un SGSI es contar con
el compromiso de la direccion, no solo por ser uno de los epigrafes contemplados
en la norma, sino porque el cambio de cultura y concienciacion que genera el
proceso seria imposible de sobrellevar sin el compromiso constante de la
direccion.
El desarrollo, la implementacion y el mantenimiento del SGSI exigen un esfuerzo
organizativo importante, que unicamente podria llevarse a cabo con una
voluntad clara de hacerlo por parte de la direccion, puesto que es ella quien
tiene que proveer de recursos al proyecto, tanto financieros como humanos, por
lo que su apoyo es imprescindible.

36. mejora del SGSI. La forma en la que se plasma este compromiso es colaborando o ejecutando,
segun los casos, las siguientes tareas:
• Establecer la politica del SGSI.
• Asegurar que se establecen los objetivos y planes del SGSI.
• Asignar los roles y las responsabilidades para la seguridad de la informacion.
• Comunicar a la organizacion la conveniencia del cumplimiento de los objetivos de seguridad de la
informacion y, conforme a la politica de seguridad de la informacion, sus responsabilidades legales y
la necesidad de la mejora continua.
• Proporcionar recursos suficientes para implementar, mantener y mejorar el SGSI.
• Decidir los criterios de aceptacion de los riesgos.
• Verificar que se realizan las auditorias internas del SGSI.
• Dirigir la gestion de las revisiones del SGSI.

37. Gestión de los recursos
Como se comentaba anteriormente, es la direccion la que debe gestionar los recursos.
Ha de comenzar por proveer de recursos al desarrollo y mantenimiento del SGSI en
funcion de lo que se estime necesario para establecer, implementar, poner en
funcionamiento, efectuar el seguimiento, revisar, mantener y mejorar el SGSI.
Hay que contar con las diversas tareas que implica el funcionamiento, la verificación
y la mejora del sistema, puesto que conservar el nivel de seguridad que aporta el SGSI
solo puede lograrse comprobando regularmente que los procedimientos de seguridad
estan alineados con el negocio, que cumplen con los requisitos legales, que los
controles estan correctamente implementados y que se llevan a cabo las acciones
oportunas para corregir errores y mejorar el sistema.
Capitulo aparte merece la gestion de los recursos humanos. Este punto es uno de los
factores criticos de exito. Sin una colaboracion activa del personal es muy difícil
implementar con exito un SGSI.

38. Formación
La norma exige que todos los trabajadores con responsabilidades definidas en el SGSI
sean competentes para efectuar las actividades necesarias. Esto significa que hay que
definir las competencias necesarias y, en funcion de tales necesidades, proporcionar
la formacion a la plantilla o adoptar otras acciones para satisfacerlas (por ejemplo, la
contratacion de personal competente).
Como cualquier otra actividad, requiere una planificacion, asi como verificar que se
cumplen los objetivos y mantener los registros de educacion, formacion y
cualificación de los empleados.
Independientemente de la formacion, el personal estara concienciado de la
importancia de las actividades de seguridad de la informacion y en particular de las
suyas propias, y de que como la aportacion de cada uno es fundamental para alcanzar
los objetivos de seguridad establecidos, y en consecuencia los de la organizacion.
En la medida que seamos capaces de formar al personal y concienciarlo de que es
fundamental cenirse a las normas de seguridad, reduciremos drasticamente la
probabilidad de fallos y su potencial impacto.

39. Auditorías internas
Una de las herramientas mas interesantes para controlar el funcionamiento del SGSI
son las auditorias internas. Estas auditorias deben programarse y prepararse
regularmente, normalmente una vez al ano. Esta programacion se recogera en el plan
de auditorias.
• El estado e importancia de los procesos y las areas que seran auditadas, de este
modo se determinara el tiempo y los recursos que habra que destinar para efectuar la
auditoria.
• Los criterios de la auditoria.
• El alcance, si va a ser global (va a abarcar toda la empresa) o parcial (solo una
parte).
• La frecuencia de realizacion de las auditorias, sabiendo que cada tres anos, al
menos, toda la organizacion debe ser auditada.
• Los metodos que se van a utilizar para hacer las auditorias.

40. Revisión por la dirección
Para realizar esta revision hay que recopilar informacion de los resultados de las
distintas actividades del SGSI para comprobar si se estan alcanzando los
objetivos, y si no es asi, averiguar las causas y decidir sobre las posibles
soluciones.
Esta revision es una de las pocas tareas que se le asigna especificamente a la
direccion, por lo que posee relevancia en varios aspectos: mantiene a la
direccion en contacto con la realidad del SGSI, ya que logicamente no se
encuentra involucrada en el dia a dia, pero es importante que este al tanto de
los trabajos realizados, de los logros obtenidos y de los problemas que
aparezcan. Ademas es una herramienta para aportar iniciativas al SGSI, ya que es
la direccion la encargada de la vision estrategica de la empresa, la que
determina hacia donde debe ir y como. Como herramienta de gestión que es, el
SGSI debe incorporar esta vision y colaborar para hacerla viable.

41. Entradas a la revisión
Los resultados de la revision deben ser documentados para proporcionar evidencia de su
realizacion, involucrar a la direccion en la gestion del sistema y apoyar l
• Los resultados de las auditorias y las revisiones del SGSI.
• Comentarios de las partes interesadas (usuarios de los sistemas de informacion, contratistas,
clientes, etc.).
• Tecnicas, productos o procedimientos que podrian ser empleados en la organización para
mejorar el funcionamiento y la efectividad del SGSI.
• El estado de las acciones preventivas y correctivas.
• Las vulnerabilidades o amenazas que no se han tratado adecuadamente en analisis de riesgos
anteriores.
• Los resultados de las metricas de efectividad.
• Las acciones de seguimiento de anteriores revisiones por la direccion.
• Cualquier cambio que pudiera afectar al SGSI.
• Recomendaciones para la mejora.as acciones de mejora.

42. Salidas de la revisión
Los resultados de la revision pueden ser de varios tipos:
• Identificacion de acciones para mejorar la efectividad del SGSI.
• Actualizacion de la evaluacion y la gestion de riesgos.
• Modificacion de los procedimientos y controles que afectan a la seguridad de la información
• Realizacion de mejoras en la manera de medir la efectividad de los controles.

43. Mejora continua
La mejora continua es una actividad recurrente para incrementar la capacidad a
la hora de cumplir los requisitos. El proceso mediante el cual se establecen
objetivos y se identifican oportunidades de mejora es continuo.
Es un punto fundamental en cualquier sistema de gestion segun las normas ISO.
Este concepto tambien es crucial en todos los modelos de mejora de procesos o
negocio que existen. En pura logica, cualquier organizacion desea hacer las cosas
cada vez mejor (mejores productos, mas baratos, en menos tiempo, mayores
beneficios), por lo que la mejora continua es un concepto empresarial de primer
orden. Los sistemas de gestion tendran por tanto que apoyar este proceso, que se
realimenta a si mismo y nunca termina, ya que siempre se puede mejorar en
algo.

44. Acción correctiva
Localizado el problema debe determinarse la relacion causa-efecto, considerando
todas las causas posibles. A veces no es facil dilucidar cuales son las causas exactas
del problema, pero hay que intentar aproximarse lo mas posible. En primer lugar
porque solo conociendo de donde partio el problema se puede tomar una decisión
coherente y acertada para solucionarlo. Y ademas porque es la manera de ir
destapando los puntos debiles de nuestros procesos. En mas de una ocasion varios
problemas detectados se han originado de un unico punto, y hasta que no se solucione
ese punto es muy probable que se sucedan incidencias que aparentemente pueden
tener poco que ver entre si.
Una vez localizado el origen, se analiza su importancia relativa y las alternativas que
pueden aplicarse para solucionar el problema, evaluando su coste y complejidad. Esto
se realizara normalmente dentro del comite de seguridad, que tomara la decisión
sobre las acciones a tomar y asignara responsables y plazos para su ejecucion. Es
esencial el cumplimiento de los plazos, y el comite debe velar por ello y analizar, en
su caso, cuales son los motivos por los que no se cumplen.

45. Acción preventiva
Se puede decidir abrir acciones preventivas a raiz de observaciones detalladas en
las auditorias internas o externas, del analisis de la evolucion de los objetivos y
de los resultados de las actividades de revision, ya que pueden utilizarse como
fuentes de informacion para el establecimiento de acciones preventivas:
• Los resultados de la revision por la direccion.
• Los resultados de los analisis de incidencias y objetivos.
• Los registros.
• El personal.

46. Las acciones preventivas son poco frecuentes al inicio de la implementacion de
un SGSI, ya que requieren una cierta madurez del sistema y una actitud proactiva
del personal para que afloren los problemas potenciales susceptibles de ser el
objeto de una accion preventiva. Por eso mismo son una potente herramienta de
gestion que permite adelantarse a los fallos, economizando recursos y costes. Se
pasa de una coyuntura de “apagar fuegos” a controlar la situacion y modificarla
de acuerdo con las necesidades de la organizacion.
Tanto en el caso de las acciones preventivas como en el de las correctivas, debe
asignarse responsables con nombres y apellidos, y determinar fechas limites de
resolución para que la responsabilidad no se diluya. Por supuesto no es viable
asignar tareas a quien puede no tener la competencia o autoridad para llevarlas
a cabo, por lo que hay que ser cuidadosos al asignar dichas responsabilidades.