PASOS A SEGUIR PARA MANEJO DE

PROYECTO DE ACCIN CORRECTIVA

NO
CONFORMIDAD

Incumplimiento de requerimientos SGSI

ACCIN
CORRECTIVA

Para eliminar la causa de las NC con

los requisitos del SGSI y prevenir su
recurrencia.

GERENCIA

Es responsable de conducir el proyecto

de la Accin Correctiva.

METODOLOGIA PARA EL PROCESO DE LA

ACCION CORRECTIVA
AUDITORA

REVISIN
GERENCIAL

8
7

IINSTAURAR
INDICADORES DE
GESTIN

IMPLANTACIN DE
LA ACCIN
CORRECTIVA

IDENTIFICAR TIPO
DE ACCIN
CORRECTIVA

ANLISIS DE
INDICADORES

NO
CONFORMIDAD

METODOLOGIA
PARA LA
ACCIN
CORRECTIVA

NLISIS DE
CAUSALIDAD:
IDENTIFICACIN
CAUSAS RACES

INCIDENTES
DE
SEGURIDAD

Cada de
lneas de
telecomunic
aciones

FALLAS EN LAS OPCIONES

DE TRATAMIENTO DEL
RIESGO

AMINORAR EL
EFECTO
TOMAR ACCIONES
REMEDIALES

ANLISIS DE
SINTOMAS

2
3

ESTRUCTURA PARA EL MANEJO DE

PROYECTOS DE ACCIN CORRECTIVA
La NC detectada se convierte en un proyecto de Accin Correctiva.
La puesta en marcha de la Accin Correctiva se inicia y termina en la
Gerencia.

GERENCIA

PRIORIZA
PROYECTO DE
ACCIN
CORRECTIVA

CONFORMA EQUIPOS
MULTIDISCIPLINARIOS

EQUIPO

ALCANCE DEL PROCEDIMIENTO DE

REPORTES DE EVENTOS O INCIDENTES

ALCANCE

Desde que se
genera el evento o
incidente hasta
que se guarda en la
base de datos

FLUJOGRAMA DE PROCEDIMIENTO PARA REPORTAR

EVENTOS E INCIDENTES DE SEGURIDAD
INICIO

Personal

Identifica evento o
incidente de
seguridad

Reporta evento o
incidente de
seguridad

FIN

Oficinas de
Seguridad de
Sistemas/Fsica

Descripcin de evento
o incidente de
seguridad

Aminora el efecto
Toman acciones
remediales
Determinacin de
Significancia (tabla
de impacto)

Informan a la
Gerencia y a la
Oficina de Seguridad
de la Informacin

Gerencia

Constituye el Equipo
Multidisplinario

Participa y supervisa
el manejo de accin
correctiva

Equipo
Multidisciplinario

Realiza anlisis de
causalidad con el uso
de diagrama s de
afinidad, relaciones y
causa efectoPersonal

Identifican tipo de
acciones correctivas
Implementan
acciones correctivas

Oficina de Seguridad
de la Informacin
Se instauran
indicadores de
gestin
Se analizan los
indicadores de
gestin
Identifican acciones
preventivas
Implementan
acciones preventivas
Evalan resultados de
acciones preventivas

Evalan resultados de
acciones correctivas

Se informa todo lo
actuado a la Gerencia

Reporta a la Gerencia
permanentemente

Registro- Ingresa a la
base de datos el
incidente y lo actuado

PASOS PARA EFECTUAR EL ANLISIS DE

CAUSALIDAD A UN INCIDENTE DE SEGURIDAD

1. Identificacin del incidente de seguridad.

Los responsables de cada institucin (gestores y
responsables de unidades de la empresa) deben
decidir cules son los incidentes que deben
someterse a un ANLISIS DE CAUSALIDAD.

2. Creacin de un equipo de trabajo

multidisciplinario.
El responsable principal debe ser un miembro
representativo de la institucin, con experiencia e
independencia sobre el incidente de seguridad. En el
equipo deben incluirse personas que conozcan el rea
donde se ha producido el incidente y conocer la
metodologa ANLISIS DE CAUSALIDAD.

PASOS PARA EFECTUAR EL ANLISIS DE

CAUSALIDAD A UN INCIDENTE DE SEGURIDAD
3. Bsqueda de la informacin necesaria.
Recopilar datos de forma inmediata tras la identificacin
del incidente de seguridad: documentacin histrica,
procedimientos normalizados de trabajo, etc. Realizar
entrevistas con las personas implicadas para describir qu
y por qu sucedi. Visitar la zona donde ocurri para
analizar los factores ambientales en los que se dio el
incidente (equipo, rea, etc.). Puede ser necesaria la
bsqueda de otra informacin adicional.

4. Ordenar los hechos.

El equipo debe describir cronolgicamente la cadena de
acontecimientos ms relevantes desde el principio hasta
el final (diagrama de flujo del proceso).

PASOS PARA EFECTUAR EL ANLISIS DE

CAUSALIDAD A UN INCIDENTE DE SEGURIDAD

5. Anlisis de la informacin.
Identificar las causas potenciales que determinan
el incidente desde las especficas a las comunes.
Pueden utilizarse distintas metodologas, siendo
la ms frecuente la aplicacin del diagrama
causa-efecto o diagrama de Ishikawa. Se
plantean de forma sistemtica las causas
principales y las causas de segundo, tercer y
cuarto orden. Las causas se deben clasificar y
ordenar segn su importancia, destacando las
causas relacionadas con el proceso.

PASOS PARA EFECTUAR EL ANLISIS DE

CAUSALIDAD A UN INCIDENTE DE SEGURIDAD

6. Plan de accin.
Identificar y priorizar los cambios que se pueden
realizar en los sistemas y procesos para reducir el
riesgo. Las acciones de mejora definidas para cada
causa deben tener un responsable asignado, indicar
cundo se van a realizar y cmo se van a evaluar.
7. Resumen final.
Realizar un informe sencillo y de fcil lectura del
anlisis del incidente (evitando identificar a las
personas involucradas). Incluir los resultados del
estudio y el plan de accin. Se dar a conocer a todos
los implicados en el incidente y a los responsables de
la institucin.

PASOS PARA EFECTUAR EL ANLISIS DE

CAUSALIDAD A UN INCIDENTE DE SEGURIDAD

8. Seguimiento.
Evaluar la efectividad de las acciones de mejora
del plan de accin. Esta ltima etapa es
fundamental para asegurar que las acciones de
mejora se han implementado y sirven para
prevenir que el incidente de seguridad vuelva a
ocurrir.

Pasos para confeccionar un diagrama

de causalidad
Se utiliza para relacionar los efectos con las causas
que los producen.
Tambin llamado diagrama de Ishikawa o
Espina de Pescado

Pasos
1. Definir de forma concisa el problema o efecto
cuyas causas deben ser identificadas.
2. Colocar el efecto dentro de un rectngulo a la
derecha de la superficie de escritura y dibujar una
flecha, que corresponder al eje central del
diagrama, de izquierda a derecha, apuntando
hacia el efecto.
3. Escribir las categoras que se consideren
apropiadas al problema: mquina, mano de obra,
materiales, mtodos, son las ms comunes y se
aplican en muchos procesos.
4. Realizar una lluvia de ideas (brainstorming) de
posibles causas y relacionarlas con cada categora.
5. Preguntarse por qu? a cada causa