👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Principio 10, 13, 16 y 17 del Marco COSO, y los criterios CC7.3 y CC9.1.
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a documentar las acciones que llevarás a cabo para corregir los hallazgos o anomalías encontrados en tu programa de seguridad, y mantener un seguimiento oportuno de su aplicación.
💡 El seguimiento de las acciones correctivas y de mejora es muy importante para el cumplimiento de SOC 2, por lo tanto, toda la información relevante debe quedar documentada.
¿Qué tengo que hacer? 🚀
Para lograr esta actividad, te recomendamos realizar los siguientes pasos:
Valida la información del reporte de auditoría
El template que te proporcionamos para esta actividad te solicita registrar información que el auditor te brindó dentro del reporte de resultados. Para agilizar el llenado, comienza por colocar toda la información que venga en el reporte:
Descripción del hallazgo / Oportunidad de mejora.
Fuente (por ejemplo, "Auditoría Interna").
Tipo de evento (por ejemplo, "No Conformidad Menor").
Requerimiento / Control relacionado.
Entiende el hallazgo, analiza su frecuencia y su causa raíz
Es esencial comprender de dónde viene el hallazgo, por qué apareció y si es un evento recurrente. De esta forma, podrás identificar las acciones más adecuadas para corregirlo. Esto también debe quedar documentado dentro del plan.
Si es un evento recurrente, te sugerimos también definir y aplicar acciones preventivas que te ayuden a mitigar su ocurrencia.
Uno de los métodos más comunes y eficientes que puedes utilizar para encontrar la causa raíz es el de los 5 porqués (5 Whys).
Planifica la implementación de las acciones
Una vez que hayas definido las acciones correctivas y/o preventivas, es importante que planifiques su implementación. Esto lo vas a lograr de la siguiente forma:
Describiendo claramente las tareas a realizar.
Asignando a los responsables más adecuados para llevar a cabo dichas tareas.
Identificando las fechas de identificación de los hallazgos y estableciendo fechas de cierre realistas.
Implementa las acciones
Teniendo ya una planificación definida, debes comunicarla a tu comité de seguridad y a todos los responsables. ¡Solicita toda la ayuda necesaria y dale prioridad a las no conformidades de mayor impacto! Una vez implementadas, debes dejar como información documentada los responsables que participaron y la fecha de cierre, así como generar toda la evidencia pertinente que demuestre dicha remediación.
Monitorea y da seguimiento
Debes asegurarte de que el hallazgo fue atendido y corregido correctamente. Para ello, debes monitorear la implementación de las tareas y validar si se requieren más recursos, si existe algún bloqueante, o cualquier otra situación. La información asociada a este monitoreo también debe quedar documentada, incluyendo el estatus del hallazgo (cerrado, en proceso, etc.), la periodicidad de revisión y la próxima fecha estimada de revisión.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu plan fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Selecciona el método de análisis de causa raíz que te parezca más conveniente. ¡Solo no olvides documentarlo!
Recuerda que esta actividad debe estar alineada a tu “Procedimiento de Acciones Correctivas y de Mejora”.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.