Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

Cláusula 10: Mejora - ISO 27001

La Cláusula 10 asegura que el SGSI no se quede estático: incorpora la mejora continua y un proceso riguroso para tratar no conformidades y aplicar acciones correctivas eficaces.

10.1 Mejora continua

La organización mejora continuamente la idoneidad, adecuación y eficacia del SGSI.
Esto conecta hallazgos, métricas, auditorías y revisión por la dirección con decisiones para ajustar procesos, controles y recursos.

10.2 No conformidad y acción correctiva

Cuando ocurre una no conformidad, la organización:

a) Reacciona a la no conformidad y, según aplique:

  • Controla y corrige la no conformidad.

  • Trata las consecuencias.

b) Evalúa la necesidad de acciones para eliminar la(s) causa(s) y evitar recurrencia/ocurrencia en otro lugar, mediante:

  • Revisión de la no conformidad.

  • Determinación de causas (análisis causal).

  • Determinación de no conformidades similares o potenciales.

c) Implementa las acciones necesarias.
d) Revisa la eficacia de la(s) acción(es) correctiva(s) tomada(s).
e) Cambia el SGSI si es necesario.

Las acciones correctivas deben ser proporcionadas a los efectos de la no conformidad.
Debe existir información documentada como evidencia de:
f) La naturaleza de las no conformidades y acciones tomadas.
g) Los resultados de las acciones correctivas.

Ejemplo breve (no conformidad → acción → verificación)

  • No conformidad: cuentas inactivas no se deshabilitan dentro del plazo definido.

  • Reacción: se deshabilitan de inmediato las cuentas detectadas; se informa a los responsables; se mitiga el riesgo de acceso indebido.

  • Causa raíz: ausencia de tarea automatizada y falta de revisión quincenal.

  • Acción correctiva: automatizar baja de cuentas desde RR. HH. al IdP; establecer revisión quincenal de accesos.

  • Verificación de eficacia: a 60 días, 0 cuentas fuera de plazo y cumplimiento ≥ 98% en tres ciclos seguidos.

  • Cambio al SGSI: actualizar procedimiento y KPI operativo; añadir control preventivo en onboarding/offboarding.

Preguntas tipo examen

1. 10.1 Mejora continua implica que la organización:

A. Mantenga el SGSI sin cambios para preservar estabilidad
B. Mejore solo tras auditorías externas
C. Mejore de manera continua la idoneidad, adecuación y eficacia del SGSI
D. Cambie controles cada mes

Explicación: 10.1 exige una mejora continua basada en desempeño y necesidades.

Respuesta: C

2. Ante una no conformidad (10.2), la organización debe:

A. Registrar y cerrar sin análisis causal
B. Reaccionar, controlar y corregir; tratar consecuencias; analizar causas; implementar y revisar eficacia
C. Esperar la próxima auditoría
D. Solo informar a la dirección

Explicación: 10.2 pide un ciclo completo de corrección y acción correctiva con verificación.

Respuesta: B:

3. Sobre la evidencia documental (10.2 f–g), la organización debe conservar:

A. Solo el informe del auditor
B. Naturaleza de no conformidades, acciones tomadas y resultados de acciones correctivas
C. Únicamente KPIs
D. Un resumen verbal

Explicación: la norma requiere trazabilidad de lo ocurrido y de la eficacia de lo implementado.

Respuesta: B

Cierre

La Cláusula 10 convierte incidentes y hallazgos en aprendizaje organizado: corrige lo urgente, elimina causas, verifica eficacia y ajusta el SGSI para sostener la mejora continua.

 

¿Quieres certificarte en ISO 27001 Foundation?

Si ya revisaste estas entradas con atención, puedes dar el paso al examen oficial con nuestro:

Kit Oficial ISO 27001 Foundation
https://academy.seguridadcero.com.pe/kit-oficial-iso-27001-foundation

¿Prefieres una formación integral con seguimiento para llegar con total seguridad?

Tengo una formación completa con acceso a clases, talleres, plantillas, simulacros y más.

Curso Oficial ISO 27001 Foundation
https://academy.seguridadcero.com.pe/curso-oficial-iso-27001-foundation

Nos vemos.

Fernando Conislla

Instructor Oficial ISO 27001 | Todos los niveles 

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 lcspc malware osint owasp phishing