Check

Check o Verificar en español, es el tercer paso que se debe llevar acabo para
lograr la mejora continua de acuerdo al PDCA, este consiste en monitorear y
controlar que todo lo que se tenía planeado funcionan correctamente y sus
resultados son los deseados de acuerdo con los objetivos definidos en la etapa
de planificación.

Si bien sabemos que para establecer y gestionar un Sistema de Gestión de la

Seguridad de la Información en base a ISO 27001, se utiliza el ciclo continúo
PDCA, debemos establecer cada una de las etapas de conformidad con los
lineamientos previamente establecidos para llevar a cabo un ciclo de mejora
continua de manera eficiente.

La implementación de la etapa de check, se relaciona con la etapa de

planificar, en la cual hemos definido cada uno de los objetivos alcanzar. Es
importante que en la etapa de planificación además de definir cada una de las
actividades que se pretenden realizar, también se definan los mecanismos de
control y evaluación que serán implementados una vez que se ha llevado a
cabo las mejoras, cuya implementación de los mecanismos le corresponde a la
etapa de verificación.

Para realizar la etapa de verificación es necesario que se hayan definido:

 Una metodología de evaluación del riesgo apropiada para el SGSI que

esto incluye:
- Definir los requerimientos del negocio
- Establecer los criterios de aceptación del riesgo
- Especificar los niveles de riesgo aceptables
 Estén seleccionados los objetivos de control para el tratamiento del
riesgo que cumplan con los requerimientos identificados en el proceso
de evaluación del riesgo.
 Se hayan definido los parámetros de evaluación, para cada una de los
objetivos a alcanzar.

Una vez definidos los mecanismos de control y se halla puesto en marcha la

segunda etapa (Do), se debe esperar un periodo de tiempo el cual ha sido
previsto en la etapa de planificación, para proceder a realizar cada una de las
pruebas o verificaciones necesarias que nos permitan medir el resultado
obtenido.

Esta etapa de check nos permite medir los resultados en función de los objetivos
planificados de manera que podamos ver como las acciones que hemos realizado
están cumpliendo con el fin para las que fueron implementadas.
Durante el check se realizan las siguientes tareas:
 Ejecutar procedimientos de seguimiento y revisión de controles.
 Realizar revisiones regulares de cumplimiento y eficacia de los controles
y del SGSI.
 Medir la eficacia de los controles y verificación de satisfacción de los
requerimientos de seguridad.
 Revisión de la evaluación de riesgos periódicamente.
 Realizar auditorías internas
 Revisión de alcance y líneas de mejoras del SGSI por la Dirección.
 Actualizar los planes de seguridad
 Recopilar los datos de control
 Analizar los datos de control
 Comparar los resultados de acuerdo a los datos de control
 Hacer las conclusiones respectivas

Ejemplo:
Consideremos que estamos diseñando un SGSI para el área de informática de
una empresa estatal y nuestro objetivo es realizar un SGSI bajo la norma
ISO/27001 que nos permita satisfacer las normas de seguridad que debe tener
un sistema; cómo las instrucciones de procedimientos a realizarse y la
documentación que se debe desarrollar en todo el proceso para la posterior
implementación del SGSI, aplicando el ciclo PDCA.
Considerando que hemos establecido mediante la planificación el alcance del
SGSI, las políticas de seguridad de la información de la organización, la
metodología de evaluación de riesgos etc. Y además se han llevado a cabo
cada una de las mejoras a los procesos anteriormente planificados que
corresponde a la etapa de hacer, procederemos a especificar a mayor detalle la
etapa de Verificación o Check.
La organización debe:
1. Ejecutar procedimientos de monitorización y revisión para:
 Detectar a tiempo los errores en los resultados generados por el
procesamiento de la información
 Identificar brechas e incidentes de seguridad
 Detectar y prevenir eventos e incidentes de seguridad mediante el
uso de indicadores; determinar si las acciones realizadas para
resolver brechas de seguridad fueron efectivas.
2. Revisar regularmente la efectividad del SGSI, atendiendo al
cumplimiento de la política y objetivos del SGSI.
3. Medir la efectividad de los controles para verificar que se cumple con
los requisitos de seguridad.
4. Revisar regularmente en intervalos planificados las evaluaciones de
riesgo, los riesgos residuales y sus niveles aceptables.
 5. Realizar periódicamente auditorías internas del SGSI en intervalos
planificados.
6. Revisar el SGSI por parte de la dirección periódicamente para garantizar
que el alcance definido sigue siendo el adecuado y que las mejoras en el
proceso del SGSI son evidentes.
7. Actualizar los planes de seguridad en función de las conclusiones y
nuevos hallazgos encontrados durante las actividades de monitorización
y revisión.
8. Registrar acciones y eventos que puedan haber impactado sobre la
efectividad o el rendimiento del SGSI.

Recomendaciones
Las herramientas de evaluación sirven para controlar el estado actual de un
proyecto, proceso, producto o servicio con el objetivo de tener una visión
detallada de su estado, evaluarlo o buscar formas de mejorarlo posteriormente.
Estas son algunas herramientas de evaluación que se pueden utilizar:
o Diagrama de Ishikawa – Estudio para localizar las causas de los
problemas.
o Check list – Listas de Control.
o MAQ – matriz auto-calidad – Herramienta para detectar en tiempo real
donde se producen defectos y el lugar donde son generados.
o LOL-PLOT – Muestra de datos para poder sacar conclusiones.
o COC – Costes de Calidad y No calidad – Análisis del coste que la
supone a la empresa invertir en calidad, para minimizar tanto fallos
potenciales como costes de exceso de calidad.
o Diagrama Fast – Análisis de costes.
o Método Kawakita Jiro – Método para la resolución de problemas.
o Análisis de causas raíz – Metodología para analizar incidencias y
establecer acciones que las solucionen.
o Gestión de riesgos – Metodología para identificar y evaluar riesgos
según su impacto potencial.
o Análisis DAFO – El Análisis DAFO consiste en una matriz donde se
analizan las Debilidades, Amenazas, Fortalezas y Oportunidades de un
proyecto o una idea de la cual queremos conocer su viabilidad presente
y futura.
Referencias
Francisco Nicolás Solarte Solarte, Edgar Rodrigo Enriquez Rosero, Mirian del Carmen Benavides.
(Diciembre de 2015). Revista Tecnológica - ESPOL. Obtenido de
http://www.rte.espol.edu.ec/index.php/tecnologica/article/view/456

Rodrigo González González, Pablo Ledesma Pereña. (2012). PDCA HOME. Obtenido de
https://www.pdcahome.com/evaluacion/