Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

Ciclo de Deming y la norma ISO 27001

Por qué importa el PHVA

La norma ISO 27001 está diseñada para mejorar continuamente el SGSI. El marco práctico para lograrlo es el ciclo de Deming: Planear–Hacer–Verificar–Actuar (PHVA). Usarlo bien te ayuda a operar, auditar y demostrar eficacia con evidencias.

Ciclo de Deming PHVA vs Cláusulas de ISO/IEC 27001:2022

P — Planear (Cláusulas 4, 5, 6 y 7 parcialmente)

  • Contexto: define alcance, procesos y partes interesadas.

  • Liderazgo: política y roles (responsables).

  • Planificación: criterios y apreciación de riesgos, plan de tratamiento, objetivos de seguridad.

  • Soporte (parcial): recursos, competencias, comunicación, información documentada.

    Evidencias clave: alcance aprobado, política, metodología de riesgo, registro de riesgos, SoA, objetivos/KPIs, plan de tratamiento.

H — Hacer (Cláusulas 7 y 8)

  • Soporte (operativo): formación y concienciación, control documental.

  • Operación: ejecutar el plan de tratamiento y controles seleccionados; gestionar cambios y terceros.

    Evidencias clave: procedimientos aplicados, registros de operación, bitácoras de cambios, contratos/SLAs, resultados de formación.

V — Verificar (Cláusula 9)

  • Seguimiento y medición: indicadores, tableros, registros de monitoreo.

  • Auditoría interna: programa y reportes.

  • Revisión por la dirección: decisiones y acciones.

    Evidencias clave: KPIs/KRIs, informes de auditoría, actas de revisión, análisis de brechas.

A — Actuar (Cláusula 10)

  • No conformidades y acciones correctivas.

  • Mejora continua (ajustes al sistema y a los controles).

    Evidencias clave: RCA (análisis causa raíz), planes y verificación de eficacia.

Cómo se ve en la práctica

  1. Planear: valoras riesgos, fijas objetivos y eliges controles (justificados en la SoA).

  2. Hacer: implementas procesos y controles, capacitas y dejas registros.

  3. Verificar: mides resultados, auditas e informas a dirección.

  4. Actuar: corriges desviaciones y mejoras el sistema; reinicias el ciclo con información nueva.

Ejemplo

  • Riesgo: acceso no autorizado a datos de clientes por robo de credenciales.

  • Control elegido: Autenticación multifactor (MFA) para cuentas con privilegios y paneles administrativos.

P: riesgo identificado y aceptabilidad definida; SoA con MFA “aplicado”; objetivo: “≥95% cuentas con MFA”.
H: despliegue de MFA, procedimiento de altas/bajas, capacitación breve.
V: KPI mensual “% MFA activo”, revisión de logs y auditoría interna de accesos.
A: acción correctiva si <95% (bloqueo condicional, recordatorios automáticos); verificación de eficacia al mes siguiente.

Preguntas tipo examen

1. ¿Cómo se relaciona el ciclo PHVA con ISO/IEC 27001?

A. No tiene relación
B. Solo aplica en la etapa de auditoría
C. Se usa para planificar compras de herramientas
D. Estructura la implementación y mejora continua del SGSI (cláusulas 4–10)

Explicación: La ISO/IEC 27001 adopta el enfoque de mejora continua; PHVA conecta plan, operación, verificación y acciones correctivas.

Respuesta: D

2. ¿Qué evidencia pertenece típicamente a la fase “Verificar” (V)?

A. Política de seguridad
B. Resultados de medición, auditoría interna y revisión por la dirección
C. Plan de tratamiento de riesgos
D. Procedimientos operativos

Explicación: Medición, auditoría y revisión (cláusula 9) confirman desempeño antes de actuar.

Respuesta: B

Cierre

Aplicar el PHVA convierte tu SGSI en un sistema vivo: planificas con base en riesgo, operas con disciplina, verificas con datos y mejoras con evidencia. Es exactamente lo que ISO/IEC 27001 espera ver en una auditoría.


Fernando Conislla
Instructor Oficial ISO 27001 | Todos los niveles

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 malware osint owasp phishing