Dirección Regional de

Ministerio de Instituto de Educación Superior

PERÚ Educación de Lima
Educación Tecnológico Público Argentina
Metropolitana

COMPUTACIÓN E INFORMÁTICA

SEGURIDAD INFORMÁTICA
SEMANA N° 11
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)
Y EL MODELO PDCA “PLAN – DO – CHECK – ACT”
PLANIFICAR – HACER – COMPROBAR - ACTUAR

Profesora Mg. Eva Matilde Vasquez Valle

I
 Qué es Información?

• Es un conjunto de datos acerca de algún suceso, hecho, fenómeno o

situación, que organizados en un contexto determinado tienen un
significado y que tiene el propósito de reducir la incertidumbre o
incrementar el conocimiento de algo.
• Información existe en diferentes formatos:
* Capital Humano
* Impresa o escrita en papel
* Dispositivos de almacenamiento (Discos,CDs,etc…)
* Videos, Fotos

I
 Introducción
• El SGSI es el concepto central sobre el que se construye ISO 27001. La
gestión de la seguridad de la información debe realizarse mediante un
proceso sistemático, documentado y conocido por toda la
organización. Garantiza u nivel de protección total es virtualmente
imposible, incluso en el caso de disponer de un presupuesto ilimitado.
El propósito es garantizar que los riesgos de las seguridad de la
información sean conocidos, asumidos, gestionados y minimizados . La
seguridad de la información, según ISO 27001 consiste en la
preservación de su confidencialidad , integridad y disponibilidad esos
tres términos constituyen la base sobre la que se cimienta todo el
edificio de la seguridad de la información

I
 Para qué sirve un SGSI?
El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a
establecer estas políticas y procedimientos en relación a los objetivos de
negocio de la organización, con objeto de mantener un nivel de
exposición siempre menor al nivel de riesgo que la propia organización
ha decidido asumir. El nivel de seguridad alcanzado por medios técnicos
es limitado e insuficiente por sí mismo. El modelo de gestión de la
seguridad debe contemplar unos procedimientos adecuados y la
planificación e implantación de controles de seguridad basados en una
evaluación de riesgos y en una medición de la eficacia de los mismos.

I
 SGSI: otros elementos a tener en cuenta
• Compromiso y apoyo de la dirección. Debe ser el área más comprometida a la hora de la
difusión, la gestión y el seguimiento del proceso.
• Definición del alcance. Es preciso definir qué objetivos tendrá nuestro SGSI, qué
beneficios supondrá y por cuánto tiempo queremos aplicarlo.
• Formación del personal interno. Los trabajadores de una empresa deben ser parte activa
del proceso y para ello es necesario que reciban la formación necesaria que les permita
estar a la altura del mismo.
• Evaluación de riesgos. Un SGSI se enfoca sobre todo en la gestión de riesgos asociados al
manejo y la gestión de la información, que en cada empresa tiene características distintas
y, por tanto, soluciones distintas.
• Compromiso de mejora continua. Al igual que otros sistemas de gestión interno, un SGSI
supone la adopción de la mejora continua como elemento de identidad corporativa.

I
 Características
• Análisis de riesgo: La norma exige que la empresa haga un análisis de
riesgos de seguridad periódicamente y siempre que se propongan o se
establezcan cambios significativos. Para que este análisis se haga de la
manera correcta, es necesario establecer criterios de aceptación de riesgo
así como la definición de cómo esos riesgos serán medidos.
• Compromiso de alta dirección: La norma también exige que la alta
dirección demuestre compromiso con el SGSI, además de ser esa parte de
la empresa ella misma la responsable por la seguridad de la información.
Los líderes son también responsables de asegurar que todos los recursos
para la implantación del sistema estén disponibles y asignados
correctamente, y además tienen la obligación de orientar a los
colaboradores para que el sistema sea verdaderamente eficiente.

I
 • Definición de objetivos y estrategias: Durante la planificación, la
empresa necesita tener muy claro cuáles son sus objetivos de seguridad y
cuáles serán las estrategias establecidas para alcanzar esos objetivos. Los
objetivos, sin embargo, no pueden ser genéricos, deben ser mensurables
y tener en cuenta los requisitos de seguridad.

• Recursos y competencias: La organización también debe garantizar que

todos los recursos necesarios no sólo para la implementación, sino que
también para el mantenimiento del sistema estén disponibles. Además,
es necesario establecer cuáles son las competencias necesarias y
garantizar que las personas responsables sean suficientemente
calificadas, incluso con documentación comprobatoria.

I
 Beneficios
 Establecer una metodología de Gestión de la Seguridad estructurada y clara.
 Reducir el riesgo de pérdida, robo o corrupción de la información sensible.
 Los clientes tienen acceso a la información mediante medidas de seguridad.
 Los riesgos y los controles son continuamente revisados.
 Se garantiza la confianza de los clientes y los socios de la organización.
 Las auditorías externas ayudan de forma cíclica a identificar las debilidades del SGSI y las áreas
que se deben mejorar.
 Facilita la integración con otros sistemas de gestión.
 Se garantiza la continuidad de negocio tras un incidente grave.
 Cumple con la legislación vigente sobre información personal, propiedad intelectual y otras.
 La imagen de la organización a nivel internacional mejora.

I
 EL MODELO PDCA

“PLAN – DO – CHECK – ACT”

PLANIFICAR – HACER – COMPROBAR - ACTUAR
El ciclo de Deming (de Edwards Deming), también conocido como ciclo
PDCA (del inglés Plan-Do-Check-Act) o PHVA (de la traducción oficial al
español como Planificar-Hacer-Verificar-Actuar) o espiral de mejora
continua, es una estrategia basada en la mejora continua de la calidad,
en cuatro pasos, según el concepto ideado por Walter A. Shewhart,
amigo y mentor de William E. Deming que lo enseñó en el Japón de los
años 1950. A veces también es, por ello, denominado Ciclo Deming-
Shewhart.

Eva Matilde Vasquez Valle 9

I
 • Los resultados de la implementación de este ciclo permiten a las
organizaciones una mejora integral de la competitividad, de los
productos y servicios, mejorando continuamente la calidad,
reduciendo los costos, optimizando la productividad, reduciendo los
precios, incrementando la participación del mercado y aumentando la
rentabilidad.

Eva Matilde Vasquez Valle 10

I
 PLAN (Planificar)

Se establecen las actividades del proceso, necesarias para obtener el

resultado esperado. Al basar las acciones en el resultado esperado, la
exactitud y cumplimiento de las especificaciones a lograr se convierten
también en un elemento a mejorar. Cuando sea posible conviene realizar
pruebas de preproducción o pruebas para probar los posibles efectos.
• Recopilar datos para profundizar en el conocimiento del proceso.
• Detallar las especificaciones de los resultados esperados.
• Definir las actividades necesarias para lograr el producto o servicio,
verificando los requisitos especificados.
• Establecer los objetivos y procesos necesarios para conseguir resultados
necesarios de acuerdo con los requerimientos del cliente y las políticas
organizacional.

Eva Matilde Vasquez Valle 11

I
 HERRAMIENTAS DE PLANIFICACIÓN

Estas herramientas pueden servir para dos cosas:

– Para facilitar y estandarizar la metodología de planificación de proyectos, actividades y
tareas.
– Para ayudar a diseñar productos, procesos y servicios según los requisitos y funciones
previstas en el futuro.
Algunos ejemplos de herramientas de planificación los podemos ver en la siguiente lista:
• AMFE – Análisis Modal de Fallos y Efectos
• Diagrama de Gantt – Planificación y seguimiento de actividades y proyectos.
• Método de diseño intuitivo Poka-yoke – Diseño a prueba de errores.
• QFD – Despliegue de la función calidad (Introducción) – Introducción al análisis de
necesidades y expectativas.
• Lluvia de ideas -- Participación de todas las partes interesadas.

Eva Matilde Vasquez Valle 12

I
 DO (Hacer)

• Se realizan los cambios para implantar la mejora propuesta.

Generalmente conviene hacer una prueba piloto para probar el
funcionamiento antes de realizar los cambios a gran escala.

Eva Matilde Vasquez Valle 13

I
 CHECK (Controlar o verificar)

Pasado un periodo previsto de antemano, los datos de control son

recopilados y analizados, comparándolos con los requisitos
especificados inicialmente, para saber si se han cumplido y, en su caso,
evaluar si se ha producido la mejora esperada.
• Monitorear la implementación y evaluar el plan de ejecución
documentando las conclusiones.

Eva Matilde Vasquez Valle 14

I
 HERRAMIENTAS DE EVALUACIÓN

Las herramientas de evaluación sirven para controlar el estado actual de un

proyecto, proceso, producto o servicio con el objetivo de tener una visión detallada
de su estado, evaluarlo o buscar formas de mejorarlo posteriormente.
Algunos ejemplos de herramientas de evaluación se encuentran en la siguiente
lista:
• Diagrama de Pareto – La famosa curva 80%-20% para organizar datos y centrar los
esfuerzos en lo más importante.
• Diagrama de correlación – Representación gráfica que muestra la relación de una
variable con respecto a otra.
• Diagrama de Ishikawa – Estudio para localizar las causas de los problemas.
• Cuadro de mando – Modelo de gestión, con un soporte de información periódica
para la dirección de los procesos de la empresa.
• Listas de Verificación o Control – Check list.

Eva Matilde Vasquez Valle 15

I
 ACT (Actuar)

A partir de los resultados conseguidos en la fase anterior se procede a

recopilar lo aprendido y a ponerlo en marcha. También suelen aparecer
recomendaciones y observaciones que suelen servir para volver al paso
inicial de Planificar y así el círculo nunca dejará de fluir.
Actualmente algunos expertos prefieren denominar este paso
"Ajustar". Esto ayuda a las personas que se inician en el ciclo PDCA a
comprender que el cuarto paso tiene que ver con la idea de cerrar el
ciclo con la realimentación para acercar los resultados obtenidos a los
objetivos. Además, no debe confundirse este paso "A" con el conjunto
de acciones (implementación) consecuencia del despliegue de los
planes (que se desarrolla en el segundo paso, "D", de "hacer" o "llevar
a cabo las Acciones").
Eva Matilde Vasquez Valle 16
I
 HERRAMIENTAS DE MEJORA

Las herramientas de mejora continua están pensadas para buscar puntos

débiles a los procesos, productos y servicios actuales. Del mismo modo,
algunas de ellas se centran en señalar cuáles son las áreas de mejora más
prioritarias o que más beneficios pueden aportar a nuestro trabajo, de forma
que podamos ahorrar tiempo y realizar cambios sólo en las áreas más
críticas.
Algunos ejemplos de herramientas de mejora los podemos encontrar en la
siguiente lista:
• Análisis de valor – Método ordenado para aumentar el valor de un
producto o servicio.
• Método Kaizen – Busca una mejora continua de todos aspectos de la
organización.
• Diagrama de afinidad – Juntar ideas o asuntos para organizar y resumir
agrupando las ideas afines.
Eva Matilde Vasquez Valle 17
I
 CONCLUSIONES:
• Hoy en día las organizaciones dependen en gran medida de su tecnología y sus
activos de información.
• Por lo anterior, impera una protección adecuada a la información.
• Seguridad no es un producto, es un proceso que debe ser administrado.
• Nada es estático, la seguridad no es la excepción. Mejora continua.
• Seguridad total no existe, pero sí existe la garantía de calidad en un proceso de
seguridad.
• El modelo PDCA, es una estrategia basada en la mejora continua de la calidad,
en cuatro pasos: Planificar, hacer, comprobar y actuar.

I
 Fuente
• https://es.wikipedia.org/wiki/Ciclo_de_Deming#:~:text=El%20ciclo%2
0de%20Deming%20(de,cuatro%20pasos%2C%20seg%C3%BAn%20el
%20concepto

• https://es.wikipedia.org/wiki/Ciclo_de_Deming#Plan_(Planificar)

Eva Matilde Vasquez Valle 19

I
I