Política de seguridad de la información: ejemplo y qué debe incluir
Es el primer documento que pide cualquier auditor de ISO 27001 y el que más se copia mal de internet. La política de seguridad de la información no es un texto de relleno para el manual: es la declaración de intenciones de la dirección y el paraguas del que cuelgan todos los demás controles. Aquí tienes qué exige la norma, qué debe contener y un ejemplo real que puedes adaptar.
¿Qué es la política de seguridad de la información?
Es el documento de alto nivel en el que la dirección de la organización establece su compromiso con la protección de la información y marca las líneas maestras de cómo se va a gestionar. No entra en detalles técnicos (esos van en políticas específicas y procedimientos): fija el qué y el porqué, no el cómo.
Es la diferencia entre "protegemos la confidencialidad, integridad y disponibilidad de la información" (política) y "las contraseñas deben tener 12 caracteres" (procedimiento). La política manda; el resto la desarrolla.
¿Qué exige la ISO 27001 sobre la política?
La cláusula 5.2 de ISO/IEC 27001 obliga a la alta dirección a establecer una política de seguridad de la información que:
- Sea adecuada al propósito de la organización.
- Incluya objetivos de seguridad o el marco para fijarlos.
- Contenga el compromiso de cumplir los requisitos aplicables (legales, contractuales, del cliente).
- Incluya el compromiso de mejora continua del sistema de gestión (SGSI).
- Esté documentada, comunicada dentro de la organización y disponible para las partes interesadas cuando proceda.
Ojo: la política la aprueba la dirección, no el departamento de IT. Que la firme el responsable técnico y no la gerencia es uno de los hallazgos más típicos de auditoría.
Qué debe incluir (estructura recomendada)
| Apartado | Contenido |
|---|---|
| Objeto y alcance | Para qué existe la política y a qué/quiénes aplica |
| Compromiso de la dirección | Declaración de apoyo y asignación de recursos |
| Principios (CIA) | Confidencialidad, integridad y disponibilidad |
| Objetivos de seguridad | Metas o marco para definirlas |
| Responsabilidades | Roles clave y obligación de todo el personal |
| Cumplimiento | Requisitos legales/contractuales y consecuencias del incumplimiento |
| Revisión y aprobación | Periodicidad, versión, fecha y firma de la dirección |
Ejemplo de política de seguridad de la información
Plantilla breve y realista que puedes adaptar (sustituye [Empresa] por el nombre de tu organización):
Política de Seguridad de la Información — [Empresa]
Objeto. [Empresa] considera la información un activo esencial para su negocio. Esta política establece el compromiso de la dirección con la protección de la información propia y la de sus clientes frente a cualquier amenaza, interna o externa, deliberada o accidental.
Alcance. Aplica a todo el personal, colaboradores y terceros que accedan a la información y a los sistemas de [Empresa], en el ámbito definido en el alcance del SGSI.
Principios. [Empresa] se compromete a preservar la confidencialidad (solo accede quien está autorizado), la integridad (la información es exacta y completa) y la disponibilidad (está accesible cuando se necesita) de la información.
Compromisos. La dirección se compromete a: cumplir los requisitos legales, reglamentarios y contractuales aplicables; gestionar los riesgos de seguridad de forma sistemática; formar y concienciar al personal; y mejorar de forma continua el sistema de gestión de seguridad de la información.
Responsabilidades. Todo el personal es responsable de cumplir esta política y de comunicar cualquier incidente de seguridad. El responsable de seguridad de la información vela por su aplicación y revisión.
Aprobación. Aprobada por la Dirección. Versión 1.0 · Fecha [dd/mm/aaaa]. Se revisará al menos una vez al año y cuando se produzcan cambios significativos.
Este texto cabe en una página, que es justo lo que debe ser: un documento breve, firmado por la dirección y del que cuelgan las políticas específicas (control de accesos, uso aceptable, copias de seguridad, etc.).
Errores frecuentes
- Que la firme IT y no la dirección: la norma exige compromiso de la alta dirección.
- Meter detalle técnico que debería ir en procedimientos: la política se queda obsoleta a la primera.
- Copiarla de internet sin adaptar el alcance ni los objetivos a la realidad de la empresa.
- No comunicarla: si el personal no la conoce, para el auditor es como si no existiera.
- No revisarla nunca (versión de hace cinco años sin cambios).
Aprende a montar el SGSI completo: en el curso Gestor ISO 27001 + 27701 — De Cero a Implementador aprendes a redactar la política, evaluar riesgos y preparar la documentación que el auditor acepta. Y para el documento estrella del sistema, mira cómo hacer bien la Declaración de Aplicabilidad (SoA).