Esta técnica de análisis te ayuda a determinar correctamente la causa raíz de los hallazgos y no conformidades identificadas en las auditorías internas y externas aplicadas a tu sistema de seguridad de la información.
¿En qué consiste esta actividad? 📚
Esta actividad es una forma de abordar la mejora continua de los procesos, productos y/o servicios que ofrece tu organización, mediante el análisis de los hallazgos encontrados durante las revisiones de tu sistema de seguridad de la información, como lo puede ser una auditoría interna o externa.
La aplicación del método de los 5 porqués te permite indagar a profundidad hasta encontrar la causa real (también podemos llamarla causa raíz) de un problema o hallazgo. Esto quiere decir que no debemos quedarnos solo con la causa más inmediata y obvia que se nos venga a la mente, ya que seguramente esto no nos ayudará a remediar correctamente el problema.
El objetivo de identificar la causa raíz es poder tomar las medidas y acciones correctivas más adecuadas para solventar el hallazgo o problema, y que puedas obtener los resultados esperados.
¿Cómo lo vas a lograr? 🚀
A continuación te explicamos los pasos generales a seguir para implementar el método de los 5 porqués eficientemente.
Recuerda que también puedes apoyarte del template que te proporciona Hackmetrix ✨.
Entiende el hallazgo.
Es esencial que se comprenda muy bien el hallazgo identificado. Si tienes consultas sobre la información que te brindan los auditores o encargados de la revisión, no olvides preguntar todo lo que sea necesario hasta que no quede ninguna duda.
Identificación de la causa raíz.
Ahora sí, vamos con el objetivo de esta actividad: identificar la causa raíz de los hallazgos identificados.
Puedes comenzar haciendo una lluvia de ideas utilizando el diagrama de causa y efecto, preguntándote ¿por qué existe este problema?
Una vez respondida esa primera pregunta, ahora debes cuestionarte la respuesta a la que llegaste. Y así sucesivamente para llegar al fondo de la problemática y entender mejor cómo lo vas a corregir.
Ejemplos 📝
A continuación te mostramos un ejemplo muy sencillo de cómo se vería la aplicación de este método con una problemática asociada a la disminución de ventas de una empresa:
Al hacer la última pregunta concluimos que la causa raíz del problema pueden ser varios factores:
Poca importancia o baja prioridad a conseguir o elaborar recursos de capacitación bien estructurados.
Sobrecarga de trabajo, etcétera.
💡 Es muy importante recordar que la definición de estas posibles causas raíz debe estar alineada al contexto real de tu organización y a analizar situaciones que estén bajo tu control y que te permitan obtener acciones concretas que puedas implementar para remediar la problemática principal.
Ahora bien, un ejemplo más cotidiano donde podamos aplicar este método es analizar una problemática asociada a no poder acceder a un sistema, y el análisis se vería de la siguiente forma:
Con este ejemplo y estas preguntas en particular podemos llegar a la conclusión de que la causa principal fue por que el interruptor principal no se encontraba encendido, y no por el sistema en cuestión.
Para un ejemplo más particular que puede ocurrir en un sistema de seguridad tenemos la siguiente problemática: falta del etiquetado de información de acuerdo a la Política de Seguridad de la Información de la empresa.
La aplicación del método se vería de la siguiente manera:
Con este análisis podemos concluir que la causa raíz del problema es que aún no hay una cultura en el personal de la empresa de cómo etiquetar la información y de la importancia que esto tiene para la seguridad dentro de la empresa.
🚀 Identificar la causa raíz de las no conformidades o hallazgos es solo la primera parte, pero es esencial que se realice un análisis consciente y adecuado para establecer las mejores acciones a implementar que puedan realmente ayudarte a solucionarlo.
Para más información sobre cómo llevar el seguimiento de tus acciones correctivas, te recomendamos leer el siguiente artículo.
💡 El template proporcionado para esta actividad es solo de apoyo, pero si lo utilizas te recomendamos subir la evidencia siguiente:
El documento final, en versión PDF (no editable).
Evidencia de su aprobación.
Recomendamos que sea a través de una minuta de sesión de comité (subir el documento en PDF de la minuta), o con una respuesta explícita de quién lo aprobó, recordando que las personas que aprueben deben estar debidamente capacitadas y tener un rol adecuado dentro del SGSI.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como el correo electrónico institucional (subir una captura de pantalla donde se muestre el mensaje).
Recomendaciones ✅
Durante esta actividad recuerda tener cuidado de no preguntar ¿quién?, ya que el enfoque principal debe estar en resolver el hallazgo y no las personas involucradas.
Para que esta actividad sea un éxito, te recomendamos reservar con tu equipo de trabajo, un espacio con todo el tiempo que sea necesario para realizar este análisis. Y es importante que los ejecutores del proyecto de seguridad y quienes participaron en la auditoría, apoyen en este análisis.
Adicionalmente, se recomienda que, si el hallazgo o la no conformidad está asociada a un área específica, todos los colaboradores de dicha área también participen en este análisis.
Presenta al comité de seguridad los resultados de este análisis para que se puedan comprender las acciones correctivas a implementar y puedan aprobarse los planes de remediación pertinentes.
Pon especial atención en estos puntos y tu documento estará listo. Cuando hayas terminado, solicita la revisión desde la app de Hackmetrix y nuestro equipo te ayudará a validarlo.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.