13 dic 2011

El ciclo PDCA, esas siglas raras que salen en las "ISOs"...! Parte I

Buenas a todos, en el artículo de hoy me gustaría hablar de esas cuatro letras que forman uno de los palabros más comunes en los estándares ISO, y que a los responsables dedicados a temas de gestión TI les gusta tanto nombrar, pero que en realidad no se aplican tan bien en numerosas ocasiones, al menos en el sentido literal y como se define en los estándares, el ciclo PDCA.

PDCA son las siglas de Plan-Do-Check-Act, traducido a castellano, Planear-Hacer-Chequear-Actuar (también es conocido como "Ciclo de Deming". Resume en cuatro palabras el ciclo que se debe adoptar en una organización para implantar un sistema que haga las cosas como se deben de hacer, bueno, bonito y barato. Bueno porque si se sigue al pie de la letra nos permitirá hacer las cosas bien y funcionando de una manera estable. Bonito, porque si sigue al pie de la letra nos permitirá visualizar de una manera rápida el estado del sistema y ver como se debe proceder en cada momento cada vez que haya que realizar alguna operación. Y barato, porque si se aplica de una manera adecuada, aún haciendo una inversión alta inicialmente, permitirá ahorrar costes a la larga.

Si aplicamos las 3 Bs al PDCA, definiríamos el ciclo formalmente así:

Plan

  • Identificar los procesos que nos interesa mejorar e investigar en busca de la información necesaria para ejecutar dichos procesos.
  • Establecer de una manera clara los objetivos que se quieren mejorar.
  • Detallar los resultados que esperaríamos si se aplicase todo correctamente.
  • Establecer los objetivos de mejora y definir los procesos para conseguir estos objetivos.

Do

  • Implementar los nuevos procesos.

Check

  • Comprobar que las cosas estén funcionando como se espera, comparando con los objetivos que establecimos en la fase "Plan", y verificando si ha habido mejoras.
  • Deberemos documentar toda esta fase de monitorización, porque nos hará falta próximamente este monitoreo.

Act

  • Llega la hora de actuar. Si hemos detectado problemas en la fase "Check", habrá que aplicar mejoras.
  • Y documentar las modificaciones para que sean de utilidad para aprender de los errores y mejorar el sistema.

Como veis, el ciclo PDCA no dice nada que se salga de un esquema lógico aplicado en cualquier sistema en ingeniería (y en otras ramas): planificar las cosas, aplicarlas, comprobar que todo va bien, y si algo va mal, rectificar y seguir planificando nuevas cosas para comenzar el ciclo. Sentido común vaya, ¿no suena tanto a chino esto del PDCA ahora verdad?.

En esta cadena quiero que nos centremos en el ciclo PDCA aplicado a la norma ISO 27001, que es el estándar ISO dedicado a seguridad de la información, y el que nos toca por tanto en la temática de este blog, con el que se ayuda a la implementación de un SGSI (siglas de Sistema de Gestión para la Seguridad de la Información).

El ciclo PDCA que se aplica con la norma ISO 27001 es el siguiente:

 

Como véis, el ciclo es el mismo que se define en la rueda de Deming, con la salvedad de que se define ya de una manera más detallada que se debe hacer para aplicarlo en un SGSI (cito textualmente de la norma ISO 27001):

Planear (establecer el SGSI)

  • Establecer política, objetivos, procesos y procedimientos SGSI relevantes para manejar el riesgo y mejorar la seguridad de la información para entregar resultados en concordancia con las políticas y objetivos generales de la organización.

Hacer (implementar y operar el SGSI)

  • Implementar y operar la política, controles, procesos y procedimientos SGSI.

Chequear (monitorear y revisar el SGSI)

  • Evaluar y, donde sea aplicable, medir el desempeño del proceso en comparación con la política, objetivos y experiencias prácticas SGSI y reportar los resultados a la gerencia para su revisión.

Actuar (mantener y mejorar el SGSI)

  • Tomar acciones correctivas y preventivas, basadas en los resultados de la auditoria interna SGSI y la revisión gerencial u otra información relevante, para lograr el mejoramiento continuo del SGSI.

Es evidente que este ciclo no reinventa la rueda, ni es un estándar propiamente dicho que aplique seguridad tal cual. Se debe definir el grado de seguridad que se requiere en una empresa según su modelo de negocio, y dependiendo de ello establecer ya las políticas, objetivos, procesos y procedimientos a seguir. Logicamente los objetivos de seguridad no serán iguales para un Banco Online como Bankinter, que para Carpinterías Pepe. Ya que por ejemplo, si la página Web del banco está caída un día, impediría que se realizasen miles de operaciones bancarias, creando una mala imágen y problemas a sus clientes, es decir, perderían muchas perras. Y si la página Web que se encuentra caída es la de Carpinterías Pepe, puede que no se den cuenta de este hecho ni los propios dueños, ¿verdad?

Pues con esta misma lógica y sentido común con el que analizamos la importancia de la seguridad en una organización según su modelo de negocio y sus necesidades, se debe aplicar el ciclo PDCA con la norma ISO 27001.

En el siguiente artículo nos meteremos en faena con el amplio mundo de la 27001 y su ciclo PDCA.

Saludos!

4 comentarios:

  1. Nunca he tocado el tema de las ISO pero tienen muy buena pinta esta serie de post. Espero el siguiente :)

    ResponderEliminar
  2. Hola,Lo bueno además del PDCA es que es común al resto de normas ISO. Esa filosofía de mejora continua la vamos a tener que implementar con esos pasos, aunque para diferentes procesos, tanto para la mencionada 27001, como la 9000, la 20000 (servicios IT) e incluso la 15504 (usada para desarrollo software). Por lo que unifica y ayuda a las empresas a implantar un mismo mecanismo.Buen artículo! Esperamos la parte 2.

    ResponderEliminar
  3. Javier Garzás: Hola,Lo bueno además del PDCA es que es común al resto de normas ISO. Esa filosofía de mejora continua la vamos a tener que implementar con esos pasos, aunque para diferentes procesos, tanto para la mencionada 27001, como la 9000, la 20000 (servicios IT) e incluso la 15504 (usada para desarrollo software). Por lo que unifica y ayuda a las empresas a implantar un mismo mecanismo.Buen artículo! Esperamos la parte 2.Gracias Javier. Lo bueno de PDCA es que es común a todas las normas, eso es.saludos!

    ResponderEliminar
  4. Excelente articulo muy bien explicado, yo personalmente durante la fase do incluiria documentacion, para contrastar en la fase de check, al final muchas veces pruebas cosas y al final ya no sabes lo que implementaste.

    ResponderEliminar