
Bienvenidos a esta Guía de Mejora en ISO 27001. Comparte este articulo y síguenos para recibir más guías y cursos.
Para saber más comente a continuación, respondemos todos y cada uno de los comentarios.
¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Acciones Preventivas y Correctivas en un SGSI
En la versión más reciente de la norma ISO 27001, el enfoque tradicional de acciones preventivas ha sido reemplazado por un modelo basado en la gestión del riesgo. En lugar de definir acciones preventivas de forma aislada, ahora se enfatiza la evaluación de riesgos como el método principal para identificar amenazas y tomar medidas que permitan prevenir o mitigar su impacto antes de que se materialicen.
Este cambio refleja una evolución en la filosofía de seguridad, pasando de una simple planificación de medidas preventivas a un enfoque más analítico y dinámico, donde las decisiones se basan en la identificación de causas raíz y en la gestión continua del riesgo. De esta manera, se mejora la capacidad de anticipación ante posibles incidentes y se asegura una respuesta más efectiva ante las vulnerabilidades detectadas en el Sistema de Gestión de Seguridad de la Información (SGSI).
10.1 No conformidad, acción correctiva
No Conformidades y Acciones Correctivas en un SGSI
Tras la evaluación del desempeño del Sistema de Gestión de Seguridad de la Información (SGSI) según el capítulo 9 de la norma ISO 27001, es fundamental actuar sobre los hallazgos obtenidos. En este punto del proceso, la norma establece la necesidad de identificar y gestionar no conformidades, implementando acciones correctivas que contribuyan a la mejora continua del sistema.
Este enfoque permite corregir los incumplimientos detectados y fortalecer la seguridad de la información, asegurando que el SGSI evolucione de manera constante y se mantenga alineado con los requisitos normativos, las necesidades del negocio y las expectativas de las partes interesadas.
¿Qué es una No Conformidad en Seguridad de la Información?
Una no conformidad se define como cualquier incumplimiento de los requisitos de la norma ISO 27001, de la política de seguridad de la organización o de los compromisos adquiridos con clientes, proveedores y otras partes interesadas. En términos simples, se trata de cualquier desviación que pueda comprometer la seguridad de la información y la efectividad del SGSI.
Existen múltiples escenarios en los que una no conformidad puede manifestarse dentro de un SGSI, entre los más comunes se encuentran:
- Fallas en el cumplimiento de un requisito o control del SGSI, ya sea por ausencia, mala implementación o falta de efectividad.
- Incumplimientos legales, contractuales o regulatorios, que expongan a la organización a sanciones o vulnerabilidades.
- Violaciones a políticas y procedimientos internos, ya sea por negligencia, desconocimiento o resistencia al cambio.
- Deficiencias en la gestión de proveedores, cuando los productos o servicios contratados no cumplen con los requisitos de seguridad establecidos.
- Proyectos que generan entregables fuera de los parámetros de seguridad esperados, comprometiendo la integridad del SGSI.
- Controles de seguridad ineficaces o inaplicados, que no logran mitigar los riesgos de manera adecuada.
- Procesos del SGSI con bajo rendimiento o eficiencia, que limitan su efectividad en la protección de la información.
- Incidentes de seguridad causados por incumplimientos, que podrían haberse evitado con una correcta aplicación de los requisitos del SGSI.
- Reclamos y denuncias de clientes o usuarios, que evidencian fallas en la gestión de la seguridad.
- Alertas de proveedores o partes interesadas, que informan sobre brechas o vulnerabilidades en los sistemas o procesos.
- Resultados de monitoreo y auditoría que revelan desviaciones, mostrando incumplimientos en los criterios de aceptación del SGSI.
- Objetivos de seguridad no alcanzados, lo que refleja problemas en la planificación o ejecución del sistema.
La clave para gestionar estas no conformidades es detectarlas a tiempo y aplicar las acciones correctivas necesarias para eliminar sus causas, evitando que se repitan en el futuro.
Estrategia para la Gestión de No Conformidades
En un SGSI recién implementado, la cantidad de no conformidades puede parecer abrumadora. Sin embargo, en lugar de intentar resolver todos los problemas de inmediato, es recomendable establecer prioridades, centrándose en las no conformidades más críticas y urgentes.
Para ello, se pueden aplicar criterios de priorización basados en:
- Impacto en la seguridad de la información: ¿El incumplimiento pone en riesgo datos sensibles o sistemas críticos?
- Gravedad del incumplimiento: ¿Es una desviación menor o una brecha que puede comprometer el SGSI?
- Frecuencia de ocurrencia: ¿Es un problema recurrente o un caso aislado?
- Consecuencias legales o contractuales: ¿Puede generar sanciones o afectar relaciones comerciales?
Una vez identificadas y priorizadas las no conformidades, es momento de definir e implementar acciones correctivas.
Implementación de Acciones Correctivas
Para tratar las no conformidades de manera efectiva, es fundamental seguir un proceso bien documentado que garantice una solución estructurada y verificable. Este proceso suele incluir los siguientes pasos:
- Detección y Registro
- Documentar la no conformidad en un sistema de seguimiento.
- Describir el problema, el área afectada y las consecuencias potenciales.
- Análisis de Causa Raíz
- Utilizar metodologías como los 5 porqués o diagrama de Ishikawa para identificar la causa real del problema.
- Evaluar si la causa raíz está relacionada con fallos en procesos, tecnología, capacitación o supervisión.
- Definición de Acciones Correctivas
- Diseñar medidas para corregir la no conformidad y evitar su recurrencia.
- Asignar responsables y establecer plazos de ejecución.
- Implementación y Seguimiento
- Ejecutar las acciones correctivas de acuerdo con el plan definido.
- Realizar auditorías o revisiones para verificar la efectividad de las medidas adoptadas.
- Evaluación de Resultados y Mejora Continua
- Confirmar que la acción correctiva ha solucionado la no conformidad sin generar nuevos problemas.
- Registrar el caso como cerrado y documentar las lecciones aprendidas.
Un Enfoque Basado en la Evidencia
Para que el proceso de toma de decisiones sea eficaz, es fundamental contar con un sistema de registros robusto que permita documentar adecuadamente todas las no conformidades y las acciones correctivas implementadas.
Este registro no solo facilita la trazabilidad de los problemas y su solución, sino que también sirve como evidencia de cumplimiento en auditorías internas y externas. Un SGSI bien documentado demuestra que la organización no solo identifica y corrige problemas, sino que además aprende de ellos, fortaleciendo así su cultura de seguridad y mejora continua.
Reflexión Final
La gestión de no conformidades y la implementación de acciones correctivas son elementos clave para el éxito de un SGSI. En lugar de percibir las no conformidades como simples fallos, es necesario verlas como oportunidades de mejora que permiten optimizar los controles de seguridad y minimizar los riesgos.
El éxito de este proceso radica en su enfoque estructurado, la priorización efectiva y la documentación adecuada, garantizando que el SGSI evolucione constantemente y se mantenga alineado con los requisitos de la organización y de la norma ISO 27001.
En resumen, la Gestión de No Conformidades e Incidentes
A pesar de que un SGSI bien diseñado tiene como objetivo minimizar la probabilidad de incidentes de seguridad, siempre existe la posibilidad de que ocurran no conformidades. Estas pueden manifestarse de diversas formas, como:
- Incumplimientos normativos, ya sean requisitos de ISO 27001 o regulaciones legales aplicables.
- Desviaciones en procesos internos, cuando los controles de seguridad no se ejecutan correctamente.
- Errores humanos o fallos tecnológicos, que comprometan la integridad, confidencialidad o disponibilidad de la información.
Para abordar estos problemas, la norma establece la necesidad de acciones correctivas que permitan mitigar los efectos de las no conformidades detectadas y evitar su recurrencia.
Aplicación de Acciones Correctivas
Cuando se identifica una no conformidad dentro del SGSI, es fundamental seguir un proceso estructurado para su tratamiento. Este proceso suele incluir los siguientes pasos:
- Detección y documentación de la no conformidad
- Registrar el incidente o hallazgo en un informe formal.
- Describir el impacto y las áreas afectadas.
- Análisis de causa raíz
- Determinar por qué ocurrió la no conformidad.
- Evaluar si se debió a fallos en los controles, errores humanos o vulnerabilidades no identificadas.
- Definición e implementación de acciones correctivas
- Establecer medidas específicas para eliminar la causa de la no conformidad.
- Asignar responsabilidades y establecer plazos para su ejecución.
- Seguimiento y verificación de efectividad
- Comprobar que la acción correctiva ha solucionado el problema.
- Evaluar si es necesario ajustar otros procesos o controles dentro del SGSI.
- Registro y documentación
- Mantener evidencia de las acciones implementadas.
- Incluir las conclusiones en la mejora continua del sistema.
Registro, Comunicación y Acciones Correctivas en un SGSI
Uno de los principios fundamentales en la gestión de la seguridad de la información bajo la norma ISO 27001 es la necesidad de registrar la mayor cantidad de información posible sobre incidentes, amenazas y medidas correctivas. Un sistema de gestión efectivo no solo debe reaccionar a los problemas cuando ocurren, sino que debe documentar los eventos para poder identificar patrones, mejorar la capacidad de prevención y fortalecer la resiliencia de la organización ante posibles ataques o fallos de seguridad.
Registro de Información Crítica
Para garantizar un monitoreo eficaz de la seguridad de la información, es esencial establecer objetivos claros para la recopilación y mantenimiento de registros. Algunas áreas clave incluyen:
- Alertas de malware, que pueden indicar intentos de infección en la red o dispositivos corporativos.
- Intentos de intrusión, tanto exitosos como fallidos, para identificar posibles vulnerabilidades explotables.
- Vulnerabilidades en el correo electrónico, como ataques de phishing o uso indebido de credenciales.
- Uso inadecuado de dispositivos (BYOD) y accesos a internet no autorizados, que pueden comprometer la seguridad.
- Detecciones de denegación de servicio (DoS) y accesos anómalos que puedan afectar la disponibilidad del sistema.
El mantenimiento de registros no solo ayuda a mejorar la respuesta ante incidentes, sino que también sirve como evidencia en auditorías internas y externas, demostrando el compromiso de la organización con la gestión de riesgos y el cumplimiento normativo.
Asesoría y Comunicación con Entidades de Ciberseguridad
Una práctica cada vez más recomendada es mantener contacto con organismos de ciberseguridad, tanto gubernamentales como privados, para estar al tanto de nuevas amenazas y vulnerabilidades.
El intercambio de información con estas entidades permite a las organizaciones:
- Anticiparse a posibles ataques y establecer medidas preventivas.
- Incorporar nuevas amenazas a los registros de seguridad y planes de respuesta.
- Definir acciones correctivas para no conformidades identificadas en el sistema.
La colaboración con expertos externos fortalece la capacidad de detección y respuesta del SGSI, asegurando que la organización se mantenga alineada con las mejores prácticas del sector.
Pasos para Abordar las No Conformidades
El manejo de no conformidades debe realizarse siguiendo un proceso estructurado que permita su identificación, análisis, corrección y seguimiento. La norma ISO 27001 establece que las acciones correctivas pueden clasificarse en acciones inmediatas y aquellas que requieren un plan con objetivos para eliminar la no conformidad de manera definitiva.
Proceso para el Tratamiento de No Conformidades
- Identificación del alcance e impacto de la no conformidad.
- Definición de acciones correctivas para reducir el impacto inmediato.
- Implementación de medidas de contención, como activar modos de prueba de fallos o controles adicionales.
- Evitar que las correcciones generen problemas adicionales o agraven la situación.
- Comunicación de las acciones correctivas, asegurando que sean comprendidas y ejecutadas correctamente.
- Implementación de las correcciones y supervisión de su efectividad.
- Análisis posterior para determinar si la no conformidad ha sido resuelta y si se requieren acciones adicionales.
- Comunicación con otras partes interesadas si la no conformidad tiene un impacto más amplio en la organización.
Cada acción correctiva debe estar respaldada por un proceso de toma de decisiones que establezca responsabilidades y niveles de aprobación. No todas las acciones deben implementarse de inmediato; algunas requieren evaluación y validación por parte de la dirección o el comité de seguridad.
Criterios para la Implementación de Acciones Correctivas
Para garantizar la efectividad del proceso, se deben considerar los siguientes elementos:
- Análisis de decisiones: No siempre es necesario actuar de inmediato; algunas no conformidades pueden requerir un enfoque más estratégico.
- Revisión de casos previos: Identificar si han existido no conformidades similares y qué soluciones se aplicaron en el pasado.
- Uso de algoritmos y aprendizaje analítico: Implementar herramientas de análisis de comportamiento para detectar tendencias y mejorar la predicción de incidentes.
- Identificación de causas raíz: Aplicar metodologías como los 5 porqués o diagrama de Ishikawa para entender el origen del problema.
Análisis de Causalidad y Consecuencias en el SGSI
El análisis causal permite dividir los problemas en varias categorías:
- Desviaciones básicas: Evidencias de error o fallos en el SGSI.
- Síntomas: Incidentes adversos detectados o que pudieron haberse pasado por alto.
- Problemas de efecto: Consecuencias superficiales generadas por fallos en los controles.
- Problemas de raíz: Causas profundas que, si se eliminan, evitarán la repetición del problema.
Este enfoque permite diseñar acciones correctivas más efectivas, asegurando que el problema sea erradicado en lugar de simplemente contener sus efectos.
Además, es crucial evaluar cómo las acciones correctivas impactarán al SGSI en su conjunto, determinando si es necesario:
- Modificar indicadores y métricas de seguridad.
- Redefinir objetivos de seguridad de la información.
- Ajustar procesos y procedimientos operativos.
Implementación y Evaluación de las Acciones Correctivas
Una vez definidas las acciones correctivas, la implementación debe priorizar:
- Áreas con alta recurrencia del problema, para maximizar el impacto de la solución.
- Incidentes con consecuencias críticas, que puedan afectar la confidencialidad, integridad o disponibilidad de la información.
Posteriormente, se debe evaluar la efectividad de las acciones correctivas mediante:
- Verificación de resultados, asegurando que la no conformidad ha sido eliminada.
- Análisis de seguimiento, para comprobar que no han surgido nuevas desviaciones.
- Ajustes adicionales, si la solución inicial no ha sido completamente efectiva.
Documentación de Evidencias: Un Requisito Fundamental
ISO 27001 requiere que toda acción correctiva quede documentada adecuadamente, asegurando la trazabilidad del proceso. Para ello, es fundamental registrar:
- Detalles de la no conformidad, incluyendo fecha, impacto y responsables.
- Acciones correctivas aplicadas, con plazos de ejecución y seguimiento.
- Resultados de las correcciones, determinando si fueron exitosas o si requieren ajustes adicionales.
- Lecciones aprendidas, para fortalecer el SGSI y prevenir problemas similares en el futuro.
Esta documentación no solo es esencial para auditorías y revisiones de la norma, sino que también facilita la mejora continua del SGSI, permitiendo a la organización aprender de sus errores y fortalecer sus procesos de seguridad de la información.
Conclusión
El tratamiento de no conformidades es un proceso clave dentro de un SGSI. Para gestionarlo de manera efectiva, es esencial:
- Registrar la mayor cantidad de información posible, asegurando un monitoreo detallado de amenazas e incidentes.
- Colaborar con entidades de ciberseguridad, para mantenerse actualizado sobre nuevas amenazas y buenas prácticas.
- Definir criterios claros para la toma de decisiones sobre acciones correctivas.
- Aplicar metodologías de análisis de causa raíz, para eliminar problemas desde su origen.
- Implementar y evaluar acciones correctivas, garantizando que sean efectivas y no generen efectos secundarios no deseados.
- Mantener registros detallados de las acciones correctivas aplicadas, asegurando la trazabilidad y mejora continua del SGSI.
Una gestión adecuada de no conformidades no solo cumple con los requisitos de ISO 27001, sino que también fortalece la postura de seguridad de la organización, reduciendo riesgos y asegurando la protección de la información de manera efectiva y sostenible.
10.2 Mejora continua
Mejora Continua en un SGSI: Un Proceso en Evolución
La mejora continua es un principio fundamental dentro de la norma ISO 27001, que busca integrar de manera sistemática los procesos de optimización del Sistema de Gestión de Seguridad de la Información (SGSI) en las revisiones y operaciones diarias de la organización. No se trata solo de reaccionar ante problemas o incidentes, sino de adoptar una cultura de seguridad en la que cada revisión sea una oportunidad para reforzar la resiliencia del sistema y anticiparse a nuevas amenazas.
Para que esta mejora sea efectiva, es clave que el SGSI no sea percibido como una obligación administrativa, sino como un pilar estratégico dentro de la organización. Esto implica que, en cada reunión de revisión, la alta dirección muestre liderazgo activo, asegurando que la seguridad de la información sea una prioridad y que las decisiones tomadas reflejen un compromiso real con la mejora continua del sistema.
Cultura de Seguridad y Comunicación
Uno de los elementos esenciales para la mejora continua es la participación activa del personal en todos los niveles de la organización. Sin una cultura de seguridad sólida, incluso el SGSI más avanzado puede volverse ineficaz.
Para ello, es fundamental implementar estrategias que fomenten la concienciación y el compromiso del equipo, como:
- Capacitaciones periódicas sobre seguridad de la información, adaptadas a diferentes roles dentro de la organización.
- Canales de comunicación efectivos, donde los empleados puedan reportar incidentes o vulnerabilidades sin temor a represalias.
- Integración de la seguridad en procesos operativos, asegurando que no sea un componente aislado sino parte del flujo de trabajo diario.
- Reconocimiento y recompensas para buenas prácticas en seguridad, incentivando una participación activa en la mejora del SGSI.
Al involucrar a todo el equipo en la seguridad de la información, la organización fortalece su postura frente a riesgos y fomenta un ambiente donde la protección de datos se vuelve parte del ADN corporativo.
Herramientas para la Mejora Continua
Para lograr una optimización constante del SGSI, es necesario contar con herramientas y procesos estructurados que permitan evaluar el estado del sistema y detectar oportunidades de mejora. Algunas de las más efectivas incluyen:
- Asesoría para la revisión por la dirección: Garantiza que las revisiones periódicas incluyan un análisis profundo del SGSI y que se tomen decisiones informadas basadas en datos concretos.
- Auditorías internas: Permiten identificar debilidades antes de una auditoría externa, asegurando que el SGSI cumpla con los requisitos normativos y operacionales.
- Revisiones trimestrales de riesgos: Ayudan a mantener actualizada la matriz de riesgos, incorporando nuevas amenazas y ajustando los controles según la evolución del entorno.
- Evaluaciones técnicas de cumplimiento: Aseguran que la infraestructura tecnológica y los sistemas de información cumplan con los estándares de seguridad definidos.
- Análisis de incidentes de seguridad: Permite extraer lecciones de eventos pasados y ajustar estrategias para prevenir situaciones similares en el futuro.
- Monitoreo de KPIs y SLAs de seguridad: Facilita la medición del desempeño del SGSI mediante indicadores clave que reflejen su efectividad.
- Evaluaciones de cumplimiento de proveedores: Garantiza que los terceros que manejan información de la organización cumplan con los requisitos de seguridad exigidos.
La Mejora Continua como un Ciclo sin Fin
La clave del éxito en un SGSI es entender que la mejora continua no es un destino, sino un proceso constante. Cada auditoría, cada revisión de riesgos y cada incidente de seguridad representan oportunidades de aprendizaje para fortalecer el sistema.
Para ello, la organización debe mantener un enfoque proactivo, utilizando herramientas de monitoreo, fomentando la participación del equipo y asegurando que la seguridad de la información evolucione al mismo ritmo que las amenazas y desafíos del entorno digital.
Solo mediante un compromiso real con la mejora continua, el SGSI podrá garantizar una protección efectiva, sostenible y alineada con las mejores prácticas de seguridad de la información.
En resumen, la Mejora Continua del SGSI
Uno de los principios fundamentales de la ISO 27001 es la mejora continua. Las acciones correctivas no deben verse como medidas aisladas, sino como oportunidades para fortalecer el SGSI y reducir el riesgo de incidentes futuros.
La clave para lograrlo es mantener un ciclo constante de evaluación y ajuste, asegurando que la organización aprenda de sus errores y refine sus controles de seguridad con cada incidente gestionado.
Este enfoque proactivo garantiza que el SGSI evolucione en el tiempo, adaptándose a nuevas amenazas, cambios en la organización y requerimientos normativos, consolidando una cultura de seguridad de la información robusta y resiliente.
No te detengas, sigue avanzando
Aprende con nuestros más de 100 cursos que tenemos disponibles para vos
¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Sobre la autora
Romina Orlando
Con más de 20 años de experiencia en liderazgo, gestión financiera y empresarial. Brindo Educación y Consultoría a profesionales, bancos y empresas. Puedes seguirme en mis redes:
Compartimos estos recursos para ayudar a la comunidad. COMPARTE y Siéntete libre de agregar más sugerencias en los comentarios a continuación, respondemos todos y cada uno de los comentarios.