Introducción
Acciones preventivas y correctivas
En la nueva redacción de la norma en común con la filosofía del nuevo enfoque basado en el riesgo el papel de las acciones preventivas como tal deja su lugar a las conclusiones del análisis de riesgos. El planteamiento sin más de acciones preventivas desaparece para ser sustituido por la evaluación de riesgos y tomar acciones como método para prevenir o evitarlos. Este es en definitiva un método de acciones preventivas pero con una filosofía de análisis causal más depurado.
Como segundo postulado, deberemos considerar que por mucho que establezcamos un sistema de acciones para abordar los riesgos, finalmente es inevitable que se produzcan incidentes debido a no conformidades tanto reales como potenciales. Las no conformidades se identifican generalmente no cumplimientos normativos o sobre procesos internos propios de la organización.
En este capítulo se trata de requisitos para garantizar que las acciones correctivas sean apropiadas para evitar los efectos de las no conformidades encontradas. Finalmente se incluyen requisitos para la mejora continua del SGSI.
10.1 No conformidad, acción correctiva
Nos encontramos en una fase del proceso de implantación de la seguridad de la información después de que hemos analizado el rendimiento de un sistema de gestión según los requisitos del capítulo 9 Evaluación del desempeño de la norma ISO 27001. Ahora es el momento de actuar sobre los resultados que hemos obtenido.
En esta cláusula se definen requisitos para el tratamiento de las No conformidades que nos permitan garantizar que las acciones correctivas empleadas son adecuadas para la mejora continua de un sistema
¿Qué es una No conformidad en Seguridad de la Información?
Definición de no conformidad es un incumplimiento de un requisito exigido por la norma ISO 27001 o por los propios requisitos de la seguridad de la información establecidos por su política o que son exigidos por alguna de las partes interesadas.
Si profundizamos un poco más podemos encontrar una lista de tipos de no conformidades que podemos identificar en un SGSI
- Incumplimiento con un requisito o control establecido en el SGSI o simplemente que está mal implementado.
- No cumplimiento total o parcial de los requisitos legales, contractuales o acordados del cliente.
- Incumplimiento detectado en comportamientos que violan los procedimientos y políticas establecidos para la seguridad de la información o políticas de la empresa.
- Desviaciones en los productos o servicios acordados con proveedores en cuanto a los requisitos para la seguridad de la información.
- Proyectos que entregan resultados fuera de los parámetros esperados.
- Controles para la seguridad de la información que no cumplen con lo planificados o no se han aplicado correctamente o han demostrado ser ineficaces.
- Actividades previstas dentro del SGSI que no se realizan con la eficiencia esperada
- Incidentes para la seguridad de la información producidos por incumplimientos de requisitos del sistema de gestión para la seguridad de la información
- No conformidades por denuncias de los clientes.
- Alertas denunciadas por usuarios, proveedores u otras partes interesadas
- Resultados de sistemas de monitoreo que revelan incumplimientos en los criterios de aceptación
- Objetivos no alcanzados.
Ante este panorama nos preguntamos cómo proceder para tratar las no conformidades y sobre todo identificarlas
Está claro que en un sistema recién implantado pudiera parecer que tenemos que abordar una tarea que nos supera. Para ello siempre es fundamental establecer prioridades aplicar acciones correctivas sobre los problemas más importantes y urgentes de resolver. Después cuando el panorama ya se vaya aclarando acometeremos aquellas no conformidades que no son tan importantes pero que pueden ayudarnos a mejorar la eficacia del SGSI
Una buena recomendación
Un proceso de toma de decisiones eficaz pasa por un proceso bien documentado por lo que en este caso es fundamental aplicar los primeros esfuerzos de un SGSI en un sistema de registros robusto que nos permita tener los datos necesarios para evaluar las causas de los problemas y su impacto real en el sistema
REGISTRAR LO MÁS POSIBLE
Para ello debemos ponernos objetivos para mantener información y registros de cosas como:
- Alertas de malware
- Intentos de intrusión
- Vulnerabilidades de correo electrónico
- Usos inadecuados de dispositivos (BYOD, Accesos a internet etc.)
- Detecciones de denegación de servicios o accesos.
ASESORIA Y COMUNICACION
A veces y cada vez mas es interesante estar en comunicación con las entidades de ciberseguridad para intercambiar información y estar pendientes de las amenazas para nuestra actividad y poder establecer registros de aquellas nuevas amenazas que se nos presenten o directamente establecer acciones correctivas para las no conformidades detectadas.
PASOS PARA ABORDAR LAS NO CONFORMIDADES
En el manejo de las no conformidades debemos tener en cuenta algunos requisitos establecidos por la propia norma donde distinguimos las acciones inmediatas con aquellas que se abordan entro de un plan con objetivos para eliminar las no conformidades:
- Identifique el alcance y el impacto de la no conformidad.
- Establecer las acciones correctivas para limitar el impacto de la no conformidad.
Las acciones correctivas pueden incluir medidas como la activación de sistemas de detección (Modo a prueba de fallos) u otros estados apropiados.
Se debe tener cuidado de que las correcciones no empeoren la situación.
- Asegure una buena comunicación de las acciones correctivas para asegurarse que se realicen las correcciones de la mane.
- Implementar las correcciones.
- Supervise la situación para asegurarse de que las correcciones hayan tenido el efecto deseado y no hayan producido efectos secundarios no deseados.
- Actúe aún más para corregir la no conformidad si aún no está remediado.
- Comunicarse con otras partes interesadas relevantes.
Algunos criterios para abordar las acciones correctivas:
- Proceso de decisión para llevar a cabo una acción correctiva.
A veces es más conveniente no hacer nada por lo que se recomienda establecer un proceso de toma de decisiones sobre las acciones correctivas. Por ejemplo, podría quedar establecido que ciertas acciones serán responsabilidad del director del departamento y otras que necesiten ciertos recursos o afecten a las políticas de seguridad de la información deberán ser aprobadas por la dirección. - Revisión de la no conformidad para ver si se han registrado no conformidades similares.
A veces resulta útil utilizar métodos de aprendizaje analítico mediante análisis de comportamientos o apoyarse en la utilización de algoritmos que nos permitan establecer las pautas de comportamiento de sistema. - Realizar un análisis de las causas de la no conformidad.
El análisis causal nos permitirá determinar las acciones adecuadas y eficaces para evitar que la no conformidad se vuelva a producir.
Existen diversos métodos sistemáticos para el análisis de causalidad que nos permitan identificar:- Las desviaciones Básicas: Evidencias de error o fallos
- Los síntomas: los incidentes adversos identificados y los pasados por alto
- Los problemas de efectos: Los problemas superficiales causados
- Los problemas causales: Los problemas denominados “problemas raíz” que al tratarlos eliminamos la causa para que no se vuelvan a producir los efectos no deseados
- Análisis de posibles consecuencias sobre el SGSI.
Evalue la necesidad de realizar modificaciones en el SGSI, por ejemplo la inclusión de nuevos indicadores o mediciones, la modificación de objetivos, procesos de la seguridad de la información o instrucciones técnicas etc. - Determine las acciones necesarias para corregir la causa raíz.
Para determinar las acciones necesarias de forma eficaz, comience por establecer e identificar el problema y tome las acciones necesarias para eliminar o evitar los impactos más graves para la seguridad de la información
Reúna a las áreas afectadas para establecer de forma consensuada las posibles soluciones al problema involucrando tanto a las áreas técnicas como de otras áreas pues no siempre los problemas tienen su causa en cuestiones técnicas. En muchas ocasiones la problemática puede estar en la no observación de las políticas o procedimientos para la seguridad de la información - Implementar las acciones correctivas,
Dando prioridad, si es posible, a las áreas donde hay mayor probabilidad de recurrencia y las consecuencias más significativas de la no conformidad. - Evalúe las acciones correctivas
Determine si realmente se han gestionado las causas de la no conformidad y si se ha evitado que ocurran las no conformidades relacionadas.
DOCUMENTE LAS EVIDENCIAS
Otro requisito normativo es la documentación de las evidencias. Para ello es conveniente guardar los registros de la identificación de las no conformidades y las acciones que se han tomado para bordarlas así como de sus resultados.
10.2 Mejora continua
El proceso de mejora significa integrar de manera sistemática los procesos de mejora del SGSI dentro de los procesos normales de revisión de una organización. Se trata de que en las reuniones de revisión el SGSI tenga también un papel importante para demostrar el liderazgo efectivo sobre el SGSI y su preocupación en la mejora del sistema y de la seguridad de la información.
En el proceso de mejora continua también están involucrados los procesos de comunicación y establecimiento de la cultura de la seguridad ya que la participación activa de todo el personal es un factor crucial en la mejora de un SGSI.
Herramientas para conseguir la mejora continua
Por otro lado están las herramientas para conseguir la mejora continua, algunas ya hemos visto en puntos anteriores.
ISO27001.es ofrece una serie de servicios para ayudar a su organización a mantener y mejorar continuamente el SGSI. Esto incluye:
- Asesoría para la revisión por la dirección
- Las realización de Auditorías internas
- Revisiones trimestrales de riesgos
- Evaluaciones técnicas de cumplimiento
- Comentarios de incidentes de seguridad
- Monitoreo de KPIs y SLAs de Seguridad.
- Evaluaciones de cumplimiento del proveedor de servicios.
