COR-4 - Mejora Continua y Acciones Correctivas
Control de gestión sistemática de hallazgos, incidentes y oportunidades de mejora
Definición de Control
Es necesario gestionar formalmente las acciones correctivas y preventivas derivadas de auditorías, incidentes y evaluaciones de riesgo, conteniendo de inmediato cada incumplimiento y analizando su causa raíz para definir un plan de remediación con responsable y fecha. Es necesario validar la efectividad de las acciones implementadas, priorizarlas según su riesgo, y aplicar un ciclo de mejora continua que incorpore revisiones periódicas de la dirección sobre el desempeño del sistema de gestión. Es necesario comunicar los resultados de estas revisiones a los interesados, incorporarlos al roadmap de ciberseguridad, y documentar las lecciones aprendidas.
Requisitos
Requisito 1
Implementamos un proceso formal de gestión de acciones correctivas y preventivas para todos los hallazgos provenientes de auditorías, incidentes y evaluaciones de riesgo, respondiendo de manera inmediata para controlar y corregir cada incumplimiento.
Requisito 2
Definimos un plan de remediación con responsable y fecha para cada acción correctiva identificada.
Requisito 3
Priorizamos las acciones correctivas según el nivel de riesgo asociado.
Requisito 4
Implementamos un ciclo PDCA (Plan-Do-Check-Act) para la gestión sistemática de hallazgos, incidentes y oportunidades de mejora.
Requisito 5
Planificamos acciones para gestionar los riesgos y aprovechar las oportunidades, con el fin de lograr una mejora continua.
Requisito 6
Respondemos ante cualquier incumplimiento gestionando las consecuencias que haya generado.
Requisito 7
Realizamos análisis de causa raíz utilizando una metodología; como por ejemplo: 5 Whys, el diagrama de Ishikawa, entre otros...
Requisito 8
Registramos todas las acciones correctivas y preventivas en el sistema de seguimiento.
Requisito 9
Validamos la efectividad de las soluciones implementadas antes de dar cierre a las acciones correctivas.
Requisito 10
Comunicamos los resultados de las revisiones gerenciales a los stakeholders relevantes.
Requisito 11
Incorporamos los resultados de las revisiones gerenciales al roadmap de ciberseguridad.
Requisito 12
Documentamos las lecciones aprendidas de los hallazgos, incidentes y oportunidades de mejora gestionadas.
Requisito 13
Incluimos en la revisión por parte de la dirección el seguimiento de las acciones que quedaron pendientes de revisiones anteriores.
Requisito 14
Incluimos en la revisión por parte de la dirección los cambios en el entorno externo e interno que puedan afectar al sistema de gestión.
Requisito 15
Incluimos en la revisión por parte de la dirección los cambios en lo que necesitan o esperan las partes interesadas.
Requisito 16
Incluimos en la revisión por parte de la dirección los comentarios y opiniones recibidos de las partes interesadas.
Requisito 17
Incluimos en la revisión por parte de la dirección las posibilidades identificadas para seguir mejorando el sistema de gestión.
Requisito 18
Incluimos en los resultados de la revisión por parte de la dirección las decisiones tomadas sobre cómo mejorar continuamente el sistema de gestión.
Requisito 19
Incluimos en los resultados de la revisión por parte de la dirección cualquier cambio que se considere necesario hacer en el sistema de gestión.
Requisito 20
Revisamos si existen otros incumplimientos parecidos que también requieran acciones correctivas.
Requisito 21
Actualizamos el sistema de gestión cuando sea necesario como resultado de las acciones correctivas aplicadas.