En una época de rápida evolución de las amenazas digitales, una cultura de mejora continua es crucial para una seguridad de la información eficaz. Las empresas no pueden contentarse con un inventario de riesgos aislado o una pila de políticas de seguridad, sino que deben perfeccionar constantemente sus procesos. El ciclo Planificar-Hacer-Verificar-Actuar (PDCA) -a menudo denominado Planificar, Hacer, Verificar, Actuar, o Planificar, Ejecutar, Verificar, Ajustar- proporciona un enfoque estructurado para hacerlo. Este ciclo PDCA es la base de muchos programas de calidad y seguridad, y se recomienda explícitamente en normas como la ISO 27001 de seguridad de la información.

  • Planificar: establecer objetivos y planes de mejora (por ejemplo, nuevas medidas de seguridad) y definir criterios de medición.
  • Hacer: ejecutar los planes - aplicar el control o el cambio.
  • Comprobar: medir y evaluar los resultados; ¿están teniendo los cambios el efecto previsto?
  • Actuar: garantizar el éxito de las mejoras o realizar los ajustes necesarios. No se trata de un proceso aislado, sino de un ciclo continuo. Al igual que un círculo, el PDCA nunca termina: después de la fase Actuar, se empieza a planificar de nuevo, lo que garantiza la mejora continua. Garantiza que su organización mejore cada día un poco más. ¡PDCA

Mejora continua con PDCA en seguridad de la información

La seguridad de la información se beneficia de la misma filosofía de mejora continua que otras disciplinas. El Reglamento General de Protección de Datos (RGPD), por ejemplo, ¡incluso menciona este mecanismo! Para la seguridad de la información, el ciclo PDCA (Planificar-Hacer-Verificar-Actuar) es una parte esencial de la norma ISO 27001 de seguridad de la información. Las organizaciones que aplican la norma ISO 27001 deben utilizar un sistema de gestión de la seguridad de la información (SGSI) basado en el ciclo PDCA. Este sistema ayuda a las organizaciones a mejorar y adaptar continuamente sus medidas de seguridad de la información a los nuevos riesgos y requisitos.

Las amenazas cambian constantemente y surgen nuevas vulnerabilidades; una organización que se queda parada se queda atrás rápidamente. El ciclo PDCA impone un planteamiento estructural e iterativo: tras implantar las medidas de seguridad, sigue el control (por ejemplo, mediante auditorías, seguimiento o análisis de incidentes) y luego el ajuste de las políticas y medidas en función de los resultados. Así se evita quedarse estancado en un nivel de seguridad mediocre o dejar vulnerabilidades conocidas sin resolver. Los análisis de expertos demuestran que, sin este circuito de retroalimentación, muchos equipos se estancan tras implantar unos pocos “logros rápidos”, ya que no saben qué controles adicionales añaden valor y cuáles son más burocracia. Al medir los experimentos (fase de comprobación), el equipo aprende qué medidas son realmente eficaces. Esto les permite centrarse en las medidas de seguridad que aportan valor de forma demostrable, en línea con los objetivos empresariales.

Darle forma real incluye evaluaciones periódicas de riesgos, auditorías internas, revisiones de la gestión y la puesta en marcha de acciones de mejora. Lo ideal sería que la seguridad de la información no fuera un proyecto puntual, sino un proceso continuo con un lugar fijo en la organización (por ejemplo, a través de un equipo o comité de seguridad permanente).

PDCA sobre el papel frente a la práctica

Aunque el ciclo PDCA parece sencillo sobre el papel y a menudo se detalla claramente en las políticas, en la práctica no siempre funciona bien. Algunas organizaciones cuentan con un manual de SGSI y una planificación anual de auditorías, pero no utilizan realmente el ciclo para mejorar su seguridad. Un escollo común es que la seguridad de la información degenere en un ejercicio para cumplir la normativa, sin afectar a las operaciones cotidianas. Suena bien** sobre el papel, pero si el ciclo PDCA sólo se sigue pro forma, sigue siendo un pensamiento lineal en lugar de una verdadera iteración.

A menudo se oye decir que la seguridad informática no debe convertirse en un ejercicio puramente administrativo. La seguridad informática debe reforzar el negocio y no convertirse en una mera tarea sobre el papel que se limite a cumplir las directrices. Lo que me sorprende entonces es que esto se convierta en el razonamiento para dejar pasar las cosas. En otras palabras, una política puede estar muy bien escrita, pero si no hay un seguimiento concreto de los controles y las acciones, no se produce ninguna mejora y la organización no se vuelve realmente más segura. Peor aún, se siguen repitiendo los mismos errores, utilizando las mismas soluciones destartaladas y considerando la seguridad de la información como un coste o una molestia.

Los ejemplos prácticos lo confirman. Por ejemplo, veo a menudo que las empresas tienen documentos de política y procedimientos (por ejemplo, para la respuesta a incidentes o la gestión de accesos), pero que en el ajetreo de la vida cotidiana no se cumplen estrictamente o no se evalúan. En auditoría, hablamos de intención, existencia y funcionamiento por una razón. Pero en la práctica, a veces sigue habiendo un desfase entre la intención, la existencia y el funcionamiento.

Entonces se omiten las pruebas periódicas de las medidas (por ejemplo, mediante pen tests internos o simulaciones), o los resultados no conducen a ajustes. Esto socava el principio PDCA. Una auditoría anual, por ejemplo, puede producir las mismas conclusiones una y otra vez sin corregirlas estructuralmente, señal de que la fase Actúa está fallando. Sin un ciclo de mejora vivo, los programas de seguridad se vuelven rápidamente estáticos y vulnerables. Para que el PDCA funcione de verdad es necesario el compromiso tanto de la dirección como de los responsables de la implantación: la dirección debe apoyar y aprobar las mejoras, mientras que el equipo de implantación debe medir y aprender activamente. Sólo entonces el ciclo cobrará vida y se traducirá en una calidad cada vez mayor de la seguridad de la información.

Aprender de otros sectores: la aviación como ejemplo

Otras industrias muy centradas en la seguridad llevan décadas utilizando mecanismos de mejora continua. El sector de la aviación se considera un ejemplo paradigmático: volar hoy en día es extremadamente seguro, lo que se debe en parte a ciclos de mejora sistemática tras los incidentes y a medidas proactivas. Algunos ejemplos elocuentes:

  • Gestión de los recursos de la tripulación (CRM) - En los años 70 y 80, la aviación introdujo la formación en CRM para las tripulaciones de cabina en respuesta a algunos accidentes graves en los que el trabajo en equipo y la comunicación eran deficientes. Antes se consideraba que el capitán era la máxima autoridad, lo que a veces provocaba errores porque los copilotos dudaban en intervenir. El CRM enseñó a los equipos de cabina a mejorar la comunicación, compartir la toma de decisiones y responsabilizarse mutuamente de los posibles errores. El CRM es ahora obligatorio para los pilotos de líneas aéreas comerciales de todo el mundo. Podría decirse que esto ha salvado vidas: el famoso capitán Al Haynes atribuyó a la formación en CRM el éxito del aterrizaje del avión siniestrado del vuelo 232 de United Airlines en 1989; sin ella, la coordinación del equipo habría provocado muchas más víctimas. El CRM ha demostrado ser tan eficaz para reducir el error humano que el modelo se ha adoptado en otros campos, como la cirugía y la medicina de urgencias. Formar y perfeccionar continuamente estas habilidades no técnicas es una forma de mejorar continuamente la cultura de la seguridad aérea.
  • Listas de comprobación obligatorias para pilotos y técnicos - La aviación tiene una cultura en la que ningún paso es demasiado trivial para ser verificado. Las listas de comprobación son una medida sencilla pero crucial para un funcionamiento coherente y sin errores. Este principio se introdujo, por ejemplo, después de que un prototipo del Boeing Modelo 299 (precursor del bombardero B-17) se estrellara en 1935 porque la tripulación olvidó una operación sencilla (desbloquear los timones): el avión era tan complejo que “los pilotos ya no podían hacer todos los pasos de memoria”. En respuesta, diseñaron listas de comprobación para el despegue, el vuelo y el aterrizaje, que en adelante debían seguirse siempre. Desde entonces, las listas de comprobación son indispensables. Todos los pilotos, desde los pilotos deportivos hasta los capitanes de línea, trabajan con listas normalizadas para cada fase del vuelo. Esto reduce drásticamente la posibilidad de olvidar acciones y garantiza que, incluso en situaciones de estrés (piense en una emergencia), no se omita nada esencial. El uso de listas de comprobación aumenta la coherencia y detecta los errores de memoria humanos, lo que contribuye directamente a la seguridad. Por el contrario, los estudios sobre catástrofes demuestran que cuando la tripulación comete errores cruciales, muy a menudo no se ha tenido en cuenta la lista de comprobación. Los ingenieros de mantenimiento también trabajan con protocolos estrictos de listas de comprobación, para asegurarse de que, por ejemplo, después de un servicio de mantenimiento, todos los pernos se vuelven a apretar al par correcto y no se omite ningún paso. Evaluar y mejorar constantemente estas listas de comprobación (por ejemplo, en respuesta a investigaciones de incidentes) es también una práctica similar al PDCA: si algo va mal en algún sitio, se revisa la lista de comprobación pertinente para evitar que se repita.
  • Mantenimiento preventivo y sustitución de componentes (fatiga del metal) - Los ciclos de mejora técnica son igualmente importantes. Cada componente de un avión tiene una vida útil determinada y a menudo se sustituye antes de que falle, para minimizar los riesgos. Esta práctica tiene su origen, entre otras cosas, en las enseñanzas sobre la fatiga del metal. En los años 50, el primer avión de pasajeros a reacción (el De Havilland Comet) sufrió accidentes mortales debido a la fatiga del metal del fuselaje. Desde entonces, el conocimiento profundo de la fatiga de los materiales forma parte del proceso de diseño, inspección y mantenimiento. Las aeronaves se someten a inspecciones periódicas detalladas (por ejemplo, pruebas no destructivas para detectar grietas) y tienen calendarios estrictos de revisión. Los fabricantes y reguladores establecen límites operativos: tras un determinado número de horas de vuelo o ciclos de despegue y aterrizaje, debe sustituirse un componente o ponerse fuera de servicio una aeronave. De este modo se evitan proactivamente los accidentes debidos al desgaste. Se trata de un mecanismo de mejora continua, ya que los límites se ajustan constantemente en función de la experiencia y la investigación. Cada vez que se descubre una pequeña grieta o un defecto, se introducen ajustes: intervalos de inspección más cortos, materiales mejorados, cambios de diseño o nuevas instrucciones de mantenimiento. Pensemos en el incidente de Aloha Airlines en 1988, en el que la fatiga del metal provocó el desgarro de parte del fuselaje; esto precipitó la introducción de estrictos regímenes de inspección para los aviones más antiguos. Este sistema de precaución y aprendizaje ha reducido enormemente el riesgo debido a la fatiga de los materiales. El personal de mantenimiento recibe formación continua y se actualizan los procedimientos, un ejemplo práctico de PDCA: planificar (establecer el programa de mantenimiento), hacer (realizar el mantenimiento), comprobar (analizar los resultados de las inspecciones, investigar los incidentes) y actuar (ajustar los programas o el diseño para evitar problemas futuros).

El hilo conductor de estos ejemplos de aviación es la mejora continua: cada error o casi fracaso es motivo para ajustar los procedimientos, la formación o la técnica. El resultado son unas estadísticas de seguridad impresionantes, que se consiguen gracias a un proceso constante de retroalimentación y a la creación de una cultura en la que todos, desde el mecánico hasta el piloto, aceptan las mejoras. El ciclo PDCA forma parte de la cultura madura.

¡Listas de control

Industria farmacéutica: mejora continua de la calidad y la seguridad

La mejora continua también es un concepto básico en la industria farmacéutica, aunque con otros nombres. Este sector está sometido a una estricta reglamentación (piense en GMP - Good Manufacturing Practice), precisamente para garantizar la calidad y seguridad de los medicamentos. Esto exige un ciclo continuo de medición y mejora. Por ejemplo, las empresas farmacéuticas tienen sistemas de CAPA (Acción Correctiva y Preventiva): por cada desviación en el proceso de producción o cada queja sobre un producto, primero intervienen correctivamente y luego preventivamente estudian cómo evitar que se repitan, un enfoque muy similar al PDCA (se planifican acciones de mejora, se aplican, se comprueba su eficacia y se aseguran).

Un mecanismo clave es el sistema integral de gestión de la calidad, en el que se recoge información a todos los niveles. Por ejemplo, durante la producción, los lotes de medicamentos se someten a pruebas continuas (en línea o mediante muestras en el laboratorio). Si una medida de calidad queda fuera de las especificaciones, se inicia todo un procedimiento de análisis y mejora. Esto puede dar lugar a ajustes en el proceso, formación adicional para los empleados o incluso cambios en el diseño del producto. La investigación muestra que en farmacia y sanidad es necesario hacer aún más hincapié en la mejora continua para hacer frente a problemas complejos, lo que implica reforzar la garantía de calidad periódica con técnicas de mejora, de modo que los empleados puedan abordar estructuralmente los problemas del proceso en lugar de los individuales. En otras palabras, cultivar una cultura en la que cada desviación sea una oportunidad de mejora está en el ADN de las principales empresas farmacéuticas.

Ejemplos concretos demuestran su eficacia. Las empresas farmacéuticas, por ejemplo, aplican Lean y Six Sigma para optimizar continuamente sus procesos. Pfizer, una de las mayores farmacéuticas del mundo, puso en marcha a mediados de la década de 2000 un programa de mejora para reducir drásticamente el plazo de producción y distribución de Lipitor, un medicamento para reducir el colesterol. Mediante el análisis del flujo de valor y la eliminación de cuellos de botella, consiguieron reducir el plazo de entrega total en un 75% en dos años. Esto significó que los pacientes recibieron sus medicamentos más rápidamente y que Pfizer pudo operar de forma más eficiente: todos salimos ganando gracias a la mejora continua. Otro ejemplo es la amplia introducción de tecnologías de análisis de procesos y supervisión en tiempo real en la producción farmacéutica, de modo que puedan hacerse ajustes inmediatamente si los parámetros se desvían. Antes, los problemas de calidad sólo se descubrían en la inspección final; ahora aprendemos durante el proceso y podemos tomar medidas inmediatas.

En la industria farmacéutica, como en la aviación, la seguridad es la fuerza motriz. Cada retirada de un medicamento o cada error de producción descubierto desencadena un extenso ciclo PDCA: desde la investigación (Planificar qué mejorar), la aplicación de medidas correctoras (Hacer), la verificación mediante auditorías y pruebas adicionales (Comprobar) hasta los ajustes de los procesos estándar y la formación (Actuar). Además, los farmacéuticos realizan periódicamente revisiones de la gestión de sus sistemas de calidad, en las que se analizan las tendencias de las desviaciones y reclamaciones y se elaboran planes de mejora. Gracias a este planteamiento, hoy en día los medicamentos tienen una calidad muy homogénea y los incidentes graves de producción son relativamente raros; y cuando ocurren, todo el sector aprende de ellos (mediante directrices compartidas, actualizaciones de la farmacopea, etc.). La mejora continua es vital para la seguridad del paciente. El efecto secundario: el mejor funcionamiento de los sistemas y procesos, combinado con la eficiencia, se traduce en una mejora en lugar de un simple coste.

Paralelismos y lecciones para la seguridad de la información

Los ejemplos de la aviación y la industria farmacéutica demuestran que una cultura de mejora estructural ofrece enormes ventajas en materia de seguridad y eficacia. Y aunque la seguridad de la información es un campo diferente, los principios subyacentes son muy similares. Algunas lecciones clave y paralelismos:

  • Cultura y comportamiento humano:** Tanto el CRM en la cabina como la cultura de la calidad en farmacia tienen que ver con que la gente se sienta libre para plantear y resolver problemas. Lo mismo ocurre en la seguridad de la información: una cultura abierta de notificación de incidentes o casi incidentes de seguridad (por ejemplo, un empleado que casi hace clic en un enlace de phishing, pero lo notifica) crea oportunidades de aprendizaje. Si los empleados ocultan los errores por miedo a las sanciones, se pierde esa valiosa información Check. Fomentar la cooperación entre la dirección, el personal de seguridad informática y los usuarios finales (como el CRM fomenta el trabajo en equipo entre capitán y copiloto) garantiza que las señales se capten a tiempo y las mejoras lleguen a conocimiento de todos. La formación también desempeña un papel importante: las sesiones periódicas de concienciación sobre seguridad para el personal y los simulacros para los equipos de TI (como los ejercicios de planes de emergencia) pueden compararse a la formación anual obligatoria en CRM para los pilotos. Mantienen la concienciación sobre la seguridad y perfeccionan continuamente las habilidades. Esto va más allá de un momento de concienciación anual.
  • Procedimientos y listas de comprobación:** La seguridad de la información puede beneficiarse directamente del “pensamiento de lista de comprobación” de la aviación. Los procesos informáticos complejos (por ejemplo, la instalación de nuevos servidores o la respuesta a un incidente cibernético) se prestan bien a listas de comprobación estandarizadas para no pasar nada por alto. Por ejemplo, una lista de comprobación de la gestión de parches (Planificar: qué parches, Hacer: desplegar en pruebas, Comprobar: supervisar los sistemas, Actuar: desplegar en producción o revertir) o un libro de jugadas de respuesta a incidentes con acciones paso a paso. Al igual que los pilotos, las listas de comprobación reducen la probabilidad de cometer errores en situaciones de estrés. Y lo que es más importante, estos procedimientos están vivos: después de cada “vuelo” (léase: después de cada incidente o cambio informático significativo), hay que evaluar si el procedimiento sigue siendo suficiente o necesita ajustes. Este tipo de retroalimentación es similar a la actualización de una lista de comprobación o un manual tras un cuasi accidente. Un ejemplo bien conocido de esto en TI es la celebración de un post-mortem después de cada fallo a gran escala, analizando lo que salió mal y cómo evitarlo en el futuro - una práctica que encarna exactamente la fase Check/Act de PDCA.
  • Tecnología y mantenimiento preventivo: el principio de sustituir componentes a tiempo para evitar accidentes tiene su análogo en la seguridad de la información. En este caso, se trata de eliminar a tiempo sistemas obsoletos o componentes que muestren vulnerabilidades. Al igual que un avión se somete a una revisión a fondo después de X horas de vuelo, una empresa debe, por ejemplo, retirar de la producción el software heredado que ya no se actualiza antes de que provoque un incidente. El parcheado consiste en sustituir/reparar las piezas de software “desgastadas” (agujeros de seguridad) antes de que sean explotadas. También se puede considerar que la gestión de la capacidad y las pruebas de estrés son preventivas: evitan la “fatiga del metal” (en términos informáticos, que los sistemas se bloqueen bajo carga o que los archivos de registro se llenen). Si se realizan mediciones continuas (por ejemplo, análisis de vulnerabilidades, pruebas de penetración, control del rendimiento), se descubre a tiempo dónde se está produciendo el desgaste y se pueden planificar medidas. El margen de seguridad que establece la aviación (sustituir un componente mucho antes del límite de rotura) es un buen ejemplo para las TI: no hay que esperar a que se produzca una filtración de datos, sino mejorar en función de pequeñas señales (por ejemplo, un aumento de los incidentes cercanos al phishing es una señal para realizar una formación adicional incluso antes de que alguien caiga realmente en ella).
  • La regulación y las normas como catalizadores: tanto en la aviación como en la industria farmacéutica, la regulación desempeña un papel importante a la hora de imponer la mejora continua: pensemos en la notificación obligatoria de incidentes a los reguladores o en tener que cumplir normas cada vez más estrictas. En seguridad informática, observamos una tendencia similar con leyes y normativas (AVG/GDPR, NIS2, normas ISO, etc.). Sin embargo, la lección es que el cumplimiento en sí mismo no es suficiente: tiene que estar respaldado de forma sustantiva. Del mismo modo que una compañía aérea no sólo introduce listas de comprobación para cumplir con las autoridades de aviación, sino principalmente para mantener la seguridad de sus propios vuelos, una empresa no sólo debe querer certificarse según la norma ISO 27001, sino principalmente utilizar el ciclo PDCA para ser realmente más segura. Una cosa no tiene por qué excluir la otra: una buena normativa puede impulsar la mejora continua, siempre que las organizaciones adopten su espíritu y no sólo la letra.

Por último, la comparación demuestra que la seguridad y la protección son objetivos dinámicos. Tanto si se trata de minimizar los accidentes aéreos como de prevenir los errores de producción en los medicamentos o de defenderse de los ciberataques, quedarse quieto es retroceder. La mejora continua a través de un ciclo como el PDCA significa utilizar cada acontecimiento, bueno o malo, para ser más inteligentes y más fuertes. En seguridad de la información, esto se traduce en menos incidentes, detección más rápida, menor impacto y una organización ágil para responder a las nuevas amenazas. El ciclo PDCA ayuda a crear una organización que aprende: una que aprende de cada incidente y ajusta sus medidas de seguridad en consecuencia. Una organización así no sólo cumple las normas sobre el papel, sino que, sobre todo, es resistente en la práctica, que es de lo que se trata en última instancia.