Quinta fase · La más crítica

Seguimiento y acciones correctivas

El sistema persiste sobre cada No Conformidad hasta su cierre con evidencia verificada. Recordatorios automáticos, escalamiento a dirección y verificación de eficacia.

🗂️
Estructura
Diagrama y campos
📋
Plan de acción
Responsable + fecha límite
📊
Panel de ACs
Estatus en tiempo real
🔔
Recordatorios
15 · 7 · 1 día
🚨
Escalamiento
A alta dirección
Verificación
Eficacia y cierre

Estructura interna de la Fase 5

Esta fase no termina hasta que cada hallazgo tenga una acción correctiva cerrada con evidencia verificada. El sistema es activo, no pasivo.

✓ Disparador: Todos los acuses del informe recibidos (Fase 4)
FASE 5 · SEGUIMIENTO (por cada hallazgo)
5A
Plan de acción correctiva
Responsable · Acción · Fecha
5B
Motor de recordatorios
15 · 7 · 1 día antes del vencimiento
5C
Escalamiento automático
A dirección si se vence sin respuesta
5D
Verificación de eficacia
Evidencia documentada requerida
Todas las ACs cerradas
Eficacia verificada
Fase 6 habilitada ✓
📋

Campos de una acción correctiva

CampoTipoReq.
Hallazgo origenReferencia (automático)Automático
Responsable de la ACUsuario del sistemaRequerido
Descripción de la acciónTexto largoRequerido
Causa raíz identificadaTextoRequerido
Fecha límite de cierreFechaRequerido
Tipo de acciónCorrección / Correctiva / PreventivaRequerido
Recursos necesariosTextoOpcional
Avances registradosHistorial de comentariosOpcional
Evidencia de cierreArchivos adjuntosRequerido al cerrar
Verificación de eficaciaAuditor líder + fechaRequerido al cerrar

Estados de una acción correctiva

AbiertaAsignada, sin avance registrado aún
En procesoResponsable ha registrado al menos un avance
VerificandoResponsable marcó completada, auditor verificando
CerradaEficacia verificada por auditor con evidencia
VencidaFecha límite superada sin cierre — escalada a dirección

Panel global de acciones correctivas

Acciones correctivas · Ciclo 2025 · Vista global
12
Total ACs abiertas
5
Cerradas
4
En proceso
2
Sin avance
1
Vencidas
ACHallazgoTipoResponsableFecha límiteDías rest.ProgresoEstatus
AC-01 H-01 · Sin simulacros RS.MA-02 NC Mayor
JM
J. Morales
 30 Jun 2025 18 días
40%
 En proceso
AC-02 H-02 · Inventario ID.AM-01 NC Mayor
MT
M. Torres
 15 Jun 2025 3 días
75%
 En proceso
AC-03 H-03 · Comunicación RS.CO-02 NC Menor
LC
L. Castro
 10 Jun 2025 Vencida
0%
 Vencida
AC-04 H-04 · ISO 27001 A.5.1 NC Mayor
JP
J. Peña
 31 Jul 2025 49 días
100%
 Verificando

Plan de acción correctiva

Cada hallazgo genera su propia acción correctiva. El responsable define la causa raíz, la acción a tomar y la fecha de cierre comprometida.

AC-01
Sin simulacros de respuesta a incidentes en los últimos 24 meses
NC Mayor · NIST RS.MA-02 · Auditoría: NIST CSF 2.0 · Severidad: Crítico
En proceso
ResponsableJuan Morales · Operaciones TI · j.morales@empresa.com
Causa raízAusencia de un calendario formal de ejercicios de respuesta y de un responsable designado para su coordinación. No existe proceso documentado para la ejecución y registro de simulacros.
Acción correctiva1) Designar un responsable formal del proceso de simulacros. 2) Elaborar y aprobar un calendario anual de ejercicios. 3) Ejecutar el primer simulacro documentado antes del 30 Jun. 4) Crear formato estándar de registro de simulacros.
Tipo de acciónCorrectiva
Fecha límite30 Junio 2025 · 18 días restantes
Auditor verificadorAna García · verificará eficacia al cierre
Historial de avances
AC asignada
14 May 2025 · 09:30 · Sistema automático
Acción correctiva creada y notificada al responsable.
Responsable designado y calendario elaborado
22 May 2025 · J. Morales
Se nombró a P. Ruiz como coordinador de simulacros. Se elaboró propuesta de calendario para revisión del área.
Calendario aprobado — simulacro programado para 28 Jun
05 Jun 2025 · J. Morales
La gerencia aprobó el calendario. El primer simulacro está programado para el 28 de junio. Se está preparando el escenario y el formato de registro.
Ejecución del simulacro y documentación
Pendiente · 28 Jun 2025
Registrar nuevo avance

Formulario: crear plan de acción correctiva

Nueva acción correctiva · H-02 · Inventario desactualizado
Hallazgo origen: H-02 · NC Mayor · NIST ID.AM-01 · Inventario de activos TI desactualizado (18 meses)
Herramientas sugeridas: 5 Por qués, Diagrama de Ishikawa

Panel de acciones correctivas — vista responsable

Lo que ve el responsable de área cuando inicia sesión: solo sus acciones correctivas, con estatus, días restantes y acceso rápido para registrar avances.

Portal responsable · Juan Morales · Mis acciones correctivas

Mis acciones correctivas

3 asignadas · 1 en proceso · 1 vencida · 1 abierta
NC Mayor AC-01 · NIST RS.MA-02
Sin simulacros de respuesta a incidentes
Acción: Calendario de simulacros + ejecución del primero antes del 30 Jun
Progreso40%
18
días restantes
Vence: 30 Jun
NC Menor Vencida AC-03 · NIST RS.CO-02
Procedimiento de comunicación sin incluir reguladores externos
⚠ Esta acción venció el 10 Jun 2025 sin registro de avance. La alta dirección fue notificada.
+3
días vencida
NC Mayor Abierta AC-05 · ISO 27001 A.5.24
Procedimiento de gestión de incidentes sin versión aprobada
Sin avance registrado aún · Asignada el 20 May 2025
35
días restantes

Motor de recordatorios automáticos

El sistema envía recordatorios escalonados sin intervención manual. La frecuencia y contenido varía según los días restantes y la severidad del hallazgo.

Secuencia de recordatorios por AC
🟢
15 días antes del vencimiento
Recordatorio amigable · Destinatario: responsable de AC · Tono: informativo
🟡
7 días antes del vencimiento
Recordatorio de urgencia · Destinatario: responsable + auditor líder · Tono: urgente
🔴
1 día antes del vencimiento
Alerta final · Destinatario: responsable + auditor líder + SGI · Tono: crítico
🚨
Día del vencimiento sin cierre
Escalamiento automático a alta dirección · AC marcada como Vencida
💡
Los recordatorios se envían independientemente del estatus de avance. Incluso si el responsable ha registrado progreso, seguirá recibiendo avisos hasta el cierre formal con evidencia verificada.
Email: recordatorio 7 días
De: Auditorías Internas · Para: j.morales@empresa.com
⚠ Acción correctiva vence en 7 días — AC-01 · NIST RS.MA-02
Estimado Juan Morales,

Le recordamos que la siguiente acción correctiva vence en 7 días:

AC-01: Sin simulacros de respuesta a incidentes
Hallazgo: H-01 · NIST RS.MA-02 · Severidad: Crítico
Vence: 30 Junio 2025
Progreso registrado: 40%
Si ya tomó las acciones necesarias, por favor registre su avance y adjunte la evidencia en el sistema antes de la fecha límite.

Registrar avance ahora →
Email: alerta de vencimiento (día 0)
De: Auditorías Internas · Para: j.morales@empresa.com, a.garcia@empresa.com, sgi@empresa.com
🚨 AC VENCIDA — Escalamiento a dirección: AC-03 · NIST RS.CO-02
La acción correctiva AC-03 ha vencido sin registro de avance ni cierre.

Esta situación ha sido escalada automáticamente a la Alta Dirección. El responsable deberá justificar el retraso y comprometer una nueva fecha.

Estado: VENCIDA · Sin acción desde asignación
Responsable: Laura Castro · Vencía: 10 Jun 2025

Registro de notificaciones enviadas

Log de notificaciones de seguimiento · Jun 2025
FechaACTipoDestinatario(s)Estado envío
13 Jun 09:00AC-021 díaM. Torres, A. García, SGIEntregado ✓
10 Jun 09:00AC-03VencidaL. Castro, A. García, SGI, DirecciónEntregado ✓
08 Jun 09:00AC-037 díasL. Castro, A. GarcíaEntregado ✓
09 Jun 09:00AC-027 díasM. Torres, A. GarcíaEntregado ✓
26 May 09:00AC-0115 díasJ. MoralesEntregado ✓

Escalamiento automático a alta dirección

Cuando una AC vence sin respuesta, el sistema escala de inmediato a la alta dirección con un reporte ejecutivo del estado. No requiere intervención del auditor líder.

Flujo de escalamiento
Sistema
Detecta vencimiento sin cierre
AC fecha límite = hoy · sin evidencia de cierre
Sistema automático
Marca AC como "Vencida"
Cambia estado · Registra timestamp
Sistema automático
Notifica a alta dirección
Email con resumen de todas las ACs vencidas
¿La dirección interviene?
Extiende plazo
Con justificación documentada
Escala al responsable
Con instrucción directa
Responsable
Registra avance y cierra
Con evidencia verificada por auditor líder
Email de escalamiento a dirección
De: Auditorías Internas · Para: direccion@empresa.com
🚨 Escalamiento: 1 acción correctiva vencida sin respuesta — requiere su intervención
Estimada Directora M.,

Le informamos que la siguiente acción correctiva ha vencido sin registro de avance ni evidencia de cierre:

AC:AC-03 Hallazgo:H-03 · NC Menor · NIST RS.CO-02 Descripción:Procedimiento sin incluir reguladores Responsable:Laura Castro · Cumplimiento Venció:10 Jun 2025 (3 días vencida) Avance:0% · Sin registro desde la asignación
Se requiere su intervención para determinar el curso de acción.

Panel dirección · ACs escaladas
🚨 1 acción correctiva requiere su atención
AC-03 · L. Castro · 3 días vencida
Procedimiento comunicación incidentes · NIST RS.CO-02

Verificación de eficacia

La AC no se cierra sólo porque el responsable dice que terminó. El auditor líder debe verificar que la acción eliminó realmente la causa raíz, con evidencia documentada.

Verificar eficacia · AC-04 · J. Peña
AC-04 · ISO 27001 A.5.1 · Políticas de seguridad sin aprobación formal
Responsable: J. Peña · Marcada como completada: 08 Jun 2025
Evidencia presentada por el responsable
"Se elaboró la nueva versión de la Política de Seguridad (v5.0), fue aprobada por la Directora M. el 05 Jun y publicada en el portal corporativo."
📄Politica_SI_v5.0_aprobada.pdf
📸Captura_publicacion_portal.png
Verificación del auditor líder
¿La acción elimina la causa raíz?
¿Evidencia suficiente?
¿Riesgo de recurrencia?
¿Se puede cerrar?
✓ Sí, todos los criterios cumplidos
¿Qué ocurre al cerrar una AC?
La AC queda en estado "Cerrada" con timestamp del auditor verificador y la evidencia adjunta. No puede reabrirse ni modificarse.
Se notifica automáticamente al responsable y a la alta dirección con el detalle del cierre.
El hallazgo origen pasa a estado "Cerrado con eficacia verificada".
El dato queda en el historial para el análisis de reincidencias del siguiente ciclo y para el dashboard ejecutivo de KPIs.
Cuando todas las ACs de la auditoría están cerradas, el sistema habilita la Fase 6 · Cierre formal y notifica al auditor líder.

Resumen de ACs — NIST CSF 2.0

Progreso global1/4 cerradas (25%)
AC-01 · Sin simulacrosEn proceso 40%
AC-02 · InventarioEn proceso 75%
AC-03 · ComunicaciónVencida
AC-04 · PolíticaVerificando ✓
La Fase 6 se habilitará cuando las 4 ACs estén cerradas con eficacia verificada.
⚠️
Importante: La verificación de eficacia no es solo confirmar que "se hizo algo". El auditor debe constatar que la acción eliminó la causa raíz y que el control ahora cumple con el requisito del framework. Si la verificación falla, la AC regresa al responsable con observaciones.