by drmunozcl
Share
Por drmunozcl
Compartir
Uno de los principios fundamentales de la ISO 27001 es la mejora continua, un enfoque que asegura que el Sistema de Gestión de Seguridad de la Información (SGSI) no sea algo estático, sino un proceso dinámico que evoluciona junto con las necesidades de la organización y los cambios en el entorno.
¿Qué es la mejora continua?
La mejora continua implica un ciclo repetitivo de evaluación y ajustes para optimizar los procesos, controles y estrategias de seguridad. Este enfoque asegura que el SGSI sea cada vez más efectivo frente a nuevas amenazas, vulnerabilidades o cambios en el negocio.
El modelo más utilizado para implementar la mejora continua es el Ciclo PHVA (Planificar, Hacer, Verificar y Actuar).
El Ciclo PHVA en la ISO 27001
- Planificar (Plan)
- Qué hacer: Establecer los objetivos de seguridad, identificar riesgos y planificar controles para mitigarlos.
- Ejemplo: Definir que en el próximo trimestre se implementará una nueva política de control de accesos para proteger sistemas críticos.
- Hacer (Do)
- Qué hacer: Implementar las políticas, controles y procesos definidos en la etapa de planificación.
- Ejemplo: Configurar los sistemas para aplicar el control de accesos, capacitar a los empleados y comunicar la política.
- Verificar (Check)
- Qué hacer: Monitorear y evaluar si las políticas y controles están funcionando como se esperaba.
- Ejemplo: Realizar auditorías internas para revisar si los controles de acceso están siendo aplicados correctamente.
- Actuar (Act)
- Qué hacer: Identificar áreas de mejora basadas en los resultados de las auditorías y otros indicadores, y hacer los ajustes necesarios.
- Ejemplo: Si la auditoría revela que algunos empleados no siguen las políticas de acceso, implementar un plan de capacitación más efectivo.
Ejemplo práctico de mejora continua
Una empresa que maneja datos de clientes implementó inicialmente controles básicos para evitar accesos no autorizados. Después de una auditoría interna, identificaron que los empleados no entendían bien el proceso de autenticación multifactor.
Como resultado:
- Revisaron y simplificaron las instrucciones del proceso.
- Implementaron una nueva herramienta más fácil de usar.
- Programaron capacitaciones periódicas para reforzar el conocimiento.
En la siguiente auditoría, los resultados fueron significativamente mejores.
Conclusión
La mejora continua es como afinar constantemente los instrumentos de una orquesta: garantiza que todos los elementos del SGSI trabajen en armonía y se adapten a los cambios. No se trata de alcanzar una perfección inmutable, sino de progresar constantemente hacia una seguridad más robusta y efectiva.
MANTENTE INFORMADO
Suscríbete a nuestro newsletter gratuito.
Hoy probé el Test de phishing de google y lo encontré bastante bueno para revelar nuestros puntos ciegos frente a correos maliciosos. Es una herramienta simple y gratuita que puedes usar para concientizar a tu equipo o para evaluar tu propia capacidad de detección. Te dejo el enlace directo: https://phishingquiz.withgoogle.com/ Cada día recibimos mensajes que
¿Quieres fortalecer tu ciberseguridad y acercarte al cumplimiento ISO 27001 sin dar palos de ciego? Empieza por la gestión de activos TI. Si no sabes con precisión qué hardware, software, cuentas y servicios en la nube existen en tu entorno, el resto de controles se vuelven frágiles. Gestión de activos TI e ISO 27001: por
Preparar una empresa de servicios para la auditoría ISO 27001 no tiene por qué ser una carrera de último minuto. Si tu equipo depende de datos para operar y cerrar contratos, fallar la auditoría puede costarte clientes, reputación y foco operativo. La buena noticia: con un plan claro, la auditoría ISO 27001 se convierte en
Esta guía visual explica cómo proteger datos personales y sensibles en el trabajo: qué son, cómo cumplir la ley (Ley de Protección de Datos y GDPR) y buenas prácticas para clasificar documentos, asegurar bases de datos y compartir información con control. Incluye recomendaciones clave como cifrado, MFA, minimización y auditoría.
