ISMS Copilot
Glosario de ISO 27001

¿Qué es una noconformidad en ISO 27001?

Resumen

Una noconformidad es el incumplimiento de un requisito en su SGSI. En ISO 27001:2022, la cláusula 10.2 requiere que las organizaciones identifiquen, respondan y corrijan las noconformidades cuando ocurran, para luego realizar una acción correctiva que elimine sus causas raíz y prevenga su recurrencia.

Las noconformidades se descubren durante auditorías internas, revisiones por la dirección, auditorías externas de certificación u operaciones diarias; abordarlas es fundamental para mantener la certificación y mejorar su SGSI.

Las noconformidades en la práctica

Existe una noconformidad cuando su SGSI no cumple con un requisito de:

  • Los requisitos de la norma ISO 27001:2022 (Cláusulas 4-10)

  • Sus propios requisitos documentados del SGSI (políticas, procedimientos, objetivos)

  • Obligaciones legales, regulatorias o contractuales aplicables

Las noconformidades pueden variar desde brechas menores en la documentación hasta fallos importantes en los controles que comprometen la seguridad de la información.

Durante las auditorías de certificación, las noconformidades mayores pueden retrasar o impedir la certificación. Las noconformidades menores requieren una acción correctiva, pero normalmente no bloquean la certificación si se abordan con prontitud.

Tipos de noconformidades

Noconformidad mayor

Un fallo significativo que afecta la capacidad del SGSI para lograr los resultados previstos o cumplir con los requisitos.

Ejemplos:

  • Ausencia completa de un proceso requerido (ej. no se realizó ninguna evaluación de riesgos)

  • Fallo sistemático de un control (ej. no se han realizado revisiones de acceso durante 18 meses)

  • Incumplimiento significativo de requisitos legales (ej. no se siguió la notificación de brecha de GDPR)

  • Múltiples noconformidades menores relacionadas que indican problemas sistémicos

Impacto: Los organismos de certificación suelen exigir que las noconformidades mayores se resuelvan antes de otorgar o mantener la certificación.

Noconformidad menor

Un incidente o descuido aislado que no afecta gravemente la eficacia del SGSI.

Ejemplos:

  • Falta de firma en un único documento de política

  • Un caso de un empleado que no completa la capacitación en concienciación de seguridad a tiempo

  • Documentación incompleta para una revisión por la dirección reciente

  • Un control implementado pero no documentado completamente

Impacto: Debe corregirse, pero normalmente no impide la certificación si se aborda en un plazo razonable.

Observación / Oportunidad de mejora

No es técnicamente una noconformidad, sino un hallazgo que sugiere posibles problemas futuros o áreas de perfeccionamiento.

Ejemplos:

  • El contenido de la capacitación en concienciación de seguridad está desactualizado (no se viola ningún requisito actual)

  • El proceso de evaluación de riesgos funciona pero podría ser más eficiente

  • Las métricas de monitoreo no se alinean bien con los objetivos de seguridad de la información

Impacto: No requiere acción correctiva inmediata, pero debe considerarse para la mejora continua.

Los auditores de certificación clasifican los hallazgos como noconformidad mayor, noconformidad menor u observación. Las auditorías internas deberían usar las mismas clasificaciones para prepararse para las auditorías externas.

Fuentes comunes de noconformidades

Auditorías internas (Cláusula 9.2)

Su propio programa de auditoría identifica noconformidades antes de las auditorías de certificación.

Ejemplo: La auditoría interna detecta que no se ha probado la restauración de respaldos en 14 meses, violando el requisito de su política de respaldos de realizar pruebas trimestrales.

Auditorías de certificación externas

Los organismos de certificación evalúan el cumplimiento durante las auditorías de Etapa 1, Etapa 2 y de vigilancia.

Ejemplo: El auditor de certificación no encuentra evidencia documentada de revisión por la dirección en los últimos 12 meses (violación de la Cláusula 9.3).

Monitoreo operacional (Cláusula 9.1)

Las mediciones de desempeño revelan desviaciones de los requisitos.

Ejemplo: El monitoreo muestra tiempos de respuesta a incidentes de 8 horas en promedio, superando su objetivo de 4 horas.

Incidentes de seguridad

Las brechas o cuasi incidentes exponen fallos en los controles.

Ejemplo: Un ataque de phishing exitoso revela que los empleados no han recibido capacitación en concienciación de seguridad (noconformidad con la Cláusula 7.2 y A.6.3).

Retroalimentación de partes interesadas

Clientes, reguladores o empleados reportan problemas.

Ejemplo: Una auditoría de cliente descubre que no se han documentado las evaluaciones de proveedores externos (noconformidad con A.5.19).

Responder a las noconformidades (Cláusula 10.2)

ISO 27001:2022 requiere una respuesta estructurada cuando ocurren noconformidades:

1. Reaccionar ante la noconformidad

  • Tomar medidas inmediatas para controlar y corregir la situación

  • Lidiar con las consecuencias (contener el daño, notificar a las partes afectadas)

Ejemplo: Se descubre una noconformidad en el control de acceso. Acción inmediata: Revocar el acceso no autorizado, notificar al equipo de seguridad, revisar todas las concesiones de acceso recientes.

2. Evaluar la necesidad de acciones para eliminar las causas

  • Investigar por qué ocurrió la noconformidad (análisis de causa raíz)

  • Determinar si existen noconformidades similares o si podrían ocurrir en otro lugar

Ejemplo: Causa raíz: No hay recordatorio automático para las revisiones de acceso trimestrales. Riesgo similar: Otras tareas periódicas pueden carecer de recordatorios.

3. Implementar acciones correctivas

  • Tomar medidas para eliminar la causa raíz y prevenir la recurrencia

  • Asegurar que las acciones sean apropiadas para la importancia de la noconformidad

Ejemplo: Acción correctiva: Implementar una programación de tareas automatizada para todas las actividades periódicas del SGSI (revisiones de acceso, pruebas de respaldo, revisiones de políticas).

4. Revisar la eficacia de la acción correctiva

  • Verificar que la acción resolvió la noconformidad y previno la recurrencia

  • Monitorear para asegurar que el problema no regrese

Ejemplo: Después de 6 meses, una auditoría confirma que todas las tareas programadas se están completando a tiempo con los recordatorios automatizados.

5. Actualizar el SGSI si es necesario

  • Revisar la información documentada (políticas, procedimientos, controles)

  • Actualizar la evaluación de riesgos si se identifican nuevos riesgos

Ejemplo: Actualizar el procedimiento de gestión de cambios para incluir el seguimiento automatizado de tareas para todas las actividades periódicas.

Documente todas las noconformidades y acciones correctivas en un registro. Incluya: descripción, clasificación, fecha de detección, causa raíz, acciones tomadas, responsable, fecha límite y resultados de la revisión de eficacia.

Técnicas de análisis de causa raíz

Una acción correctiva eficaz requiere identificar las verdaderas causas raíz, no solo los síntomas:

Los 5 Porqués

Preguntar "por qué" repetidamente para profundizar hasta la causa raíz.

Ejemplo:

  • ¿Por qué ocurrió el incidente? → El empleado hizo clic en un enlace de phishing.

  • ¿Por qué hizo clic? → No lo reconoció como sospechoso.

  • ¿Por qué no lo reconoció? → Carecía de capacitación en concienciación.

  • ¿Por qué carecía de capacitación? → Las nuevas incorporaciones no se inscriben automáticamente.

  • ¿Por qué no hay inscripción automática? → No hay integración de procesos con el sistema de RR.HH.

  • Causa raíz: La formación en seguridad no está integrada con el proceso de incorporación de empleados.

Diagrama de espina de pescado (Ishikawa)

Categorizar las causas potenciales (personas, procesos, tecnología, entorno) para identificar factores contribuyentes.

Análisis de modo de fallo y efectos (FMEA)

Evaluar sistemáticamente cómo pueden fallar los procesos y sus consecuencias.

Ejemplos por cláusula de ISO 27001

Cláusula 5.2 - Política de seguridad de la información

Noconformidad: La política no está aprobada por la alta dirección o carece de compromiso con la mejora continua.

Acción correctiva: Obtener la firma del CEO, añadir la cláusula de mejora continua, comunicar la política actualizada.

Cláusula 6.1.2 - Evaluación de riesgos

Noconformidad: La evaluación de riesgos no se ha actualizado en 24 meses a pesar de cambios significativos en el negocio.

Acción correctiva: Realizar una evaluación de riesgos actualizada, establecer un cronograma de revisión anual con recordatorios en el calendario.

Cláusula 7.2 - Competencia

Noconformidad: No hay registros que demuestren que el personal de TI tiene las certificaciones o capacitación de seguridad requeridas.

Acción correctiva: Documentar las competencias actuales, identificar brechas de capacitación, inscribir al personal en los cursos requeridos, mantener registros de capacitación.

Cláusula 9.2 - Auditoría interna

Noconformidad: Auditoría interna realizada por la misma persona responsable de los controles auditados (falta de independencia).

Acción correctiva: Revisar el programa de auditoría para asignar auditores independientes de las áreas auditadas, proporcionar capacitación a los auditores sobre requisitos de independencia.

Anexo A.8.8 - Gestión de vulnerabilidades técnicas

Noconformidad: Vulnerabilidades críticas identificadas en escaneos pero no parcheadas dentro del plazo definido.

Acción correctiva: Parchear los sistemas vulnerables de inmediato, implementar el despliegue de parches automatizado, establecer un monitoreo de SLA de vulnerabilidades.

Utilice ISMS Copilot para realizar análisis de causa raíz de noconformidades, generar planes de acciones correctivas o crear plantillas de registros de seguimiento de noconformidades.

Requisitos de documentación

La cláusula 10.2 requiere información documentada como evidencia de:

  • La naturaleza de las noconformidades y acciones tomadas

  • Los resultados de las acciones correctivas

Su registro de noconformidades debería incluir:

  • ID de noconformidad y fecha de detección

  • Fuente (auditoría interna, auditoría externa, incidente, monitoreo)

  • Clasificación (mayor, menor, observación)

  • Descripción detallada y requisito afectado

  • Hallazgos del análisis de causa raíz

  • Plan de acción correctiva con responsables y fechas límite

  • Seguimiento de estado (abierto, en progreso, cerrado)

  • Resultados de la revisión de eficacia

Acción preventiva en ISO 27001:2022

A diferencia de versiones anteriores, ISO 27001:2022 no tiene una cláusula separada de "acción preventiva". La prevención está integrada en la norma a través de:

  • La evaluación de riesgos que identifica problemas potenciales antes de que ocurran

  • La mejora continua (Cláusula 10.1) que mejora proactivamente el SGSI

  • La acción correctiva que aborda las causas raíz para prevenir la recurrencia

Términos relacionados

¿Te fue útil?