El nombre del ciclo PDCA (o ciclo PHVA) viene de las siglas: planificar, hacer, verificar y actuar, en inglés: plan, do, check, act. También es conocido como ciclo de mejora continua o círculo de Deming, por ser Edwards Deming su autor. Esta metodología describe los cuatro pasos esenciales que se deben llevar a cabo de forma sistemática para lograr la mejora continua, entendiendo como tal al mejoramiento continuado de la calidad (disminución de fallos, aumento de la eficacia y eficiencia, solución de problemas, previsión y eliminación de riesgos potenciales, otros)
Ciclo de Deming (PDCA)
En varias normas ISO se hace referencia a la mejora continua y al ciclo de Deming, por ejemplo, en la norma ISO 9001 se habla de la mejora continua del Sistema de Gestión de Calidad, nombrando explícitamente al ciclo PDCA.
En lo que respecta a la norma ISO 27001:2013, la sección acerca del «enfoque por proceso», que incluye el modelo PDCA se ha eliminado, sin embargo, menciona que se requiere una gestión de mejora continua, pero no obliga a usar el modelo o ciclo PDCA, dando la apertura y flexibilidad para que se use cualquier otro modelo.
En relación a lo descrito, considerando que el enfoque y el uso del Ciclo PDCA está implícito en la nueva versión y que se lo usa hasta la actualidad, el Esquema Gubernamental de Seguridad de la Información en su nueva versión recomienda un enfoque basado en procesos, usando el Ciclo PDCA con una alineación en la mejora continua que requiere de una constante evolución para adaptarse a los cambios que se producen en las instituciones, con el objetivo de conseguir el mayor nivel de eficacia operativa.
A continuación, se presenta de manera gráfica el ciclo PDCA asociado a la estructura general de la ISO 27001, en la implementación del EGSI V3:
Importancia
El ciclo PDCA, en un Sistema de Gestión de Seguridad de la información (SGSI), permite descubrir los puntos vulnerables de una organización y provee herramientas valiosas para diseñar procesos y procedimientos de seguridad eficaces.
El ciclo PDCA con su enfoque de mejora continua puede ser aplicado para controlar eficientemente los procesos y actividades internas y externas en las instituciones de la Administración Pública Central.
Estructura
El ciclo PDCA lo componen cuatro etapas cíclicas, una vez concluida la etapa final se debe volver a la primera y repetir el ciclo de nuevo, es decir, las actividades son evaluadas periódicamente para incorporar nuevas mejoras. La aplicación de este ciclo está enfocada a cualquier proceso o actividad de una institución.
En relación con el enfoque del Esquema Gubernamental de Seguridad de la Información en su nueva versión, el ciclo PDCA contempla las siguientes etapas:
PLAN (Planificar)
En esta etapa se realizan varias actividades enfocadas en el diseño del EGSI.
Dichas actividades van desde la identificación del alcance del EGSI, la elaboración de la política de seguridad de la información (alto nivel), la definición de la metodología de análisis y evaluación de riesgos, la elaboración del plan de comunicación y sensibilización, y su ejecución.
DO (Hacer)
En esta etapa se realizan varias actividades enfocadas en el diseño del EGSI.
Dichas actividades van desde la identificación del alcance del EGSI, la elaboración de la política de seguridad de la información (alto nivel), la definición de la metodología de análisis y evaluación de riesgos, la elaboración del plan de comunicación y sensibilización, y su ejecución.
CHECK (Verificar)
Una vez generada suficiente evidencia como parte de la operación en la etapa “Hacer”, se debe monitorear y revisar los resultados para determinar si están alineados con los objetivos e intenciones de la administración a fin de alcanzar el objetivo consecutivo, que es: proteger la confidencialidad, integridad y disponibilidad de la información de la institución.
Estos resultados están enfocados tanto en procesos de gestión como controles de seguridad de la información. Para revisar los resultados se realizan auditorías internas, ejecución planificada de análisis y evaluación de riesgos, revisiones gerenciales.
ACT (Actuar)
En esta etapa final, se realizan mejoras al EGSI en caso de haberse identificado situaciones que no estuvieron alineadas con los objetivos e intenciones de la administración. Una tarea importante es aplicar acciones correctivas y confirmar su efectividad en cerrar las causas de las situaciones anómalas (Ej. procesos mal ejecutados o controles ineficaces).