Política de seguridad de la información: ejemplo y qué debe incluir

Academia ISO · 17 de julio de 2026 · Seguridad de la información

Es el primer documento que pide cualquier auditor de ISO 27001 y el que más se copia mal de internet. La política de seguridad de la información no es un texto de relleno para el manual: es la declaración de intenciones de la dirección y el paraguas del que cuelgan todos los demás controles. Aquí tienes qué exige la norma, qué debe contener y un ejemplo real que puedes adaptar.

¿Qué es la política de seguridad de la información?

Es el documento de alto nivel en el que la dirección de la organización establece su compromiso con la protección de la información y marca las líneas maestras de cómo se va a gestionar. No entra en detalles técnicos (esos van en políticas específicas y procedimientos): fija el qué y el porqué, no el cómo.

Es la diferencia entre "protegemos la confidencialidad, integridad y disponibilidad de la información" (política) y "las contraseñas deben tener 12 caracteres" (procedimiento). La política manda; el resto la desarrolla.

¿Qué exige la ISO 27001 sobre la política?

La cláusula 5.2 de ISO/IEC 27001 obliga a la alta dirección a establecer una política de seguridad de la información que:

Ojo: la política la aprueba la dirección, no el departamento de IT. Que la firme el responsable técnico y no la gerencia es uno de los hallazgos más típicos de auditoría.

Qué debe incluir (estructura recomendada)

ApartadoContenido
Objeto y alcancePara qué existe la política y a qué/quiénes aplica
Compromiso de la direcciónDeclaración de apoyo y asignación de recursos
Principios (CIA)Confidencialidad, integridad y disponibilidad
Objetivos de seguridadMetas o marco para definirlas
ResponsabilidadesRoles clave y obligación de todo el personal
CumplimientoRequisitos legales/contractuales y consecuencias del incumplimiento
Revisión y aprobaciónPeriodicidad, versión, fecha y firma de la dirección

Ejemplo de política de seguridad de la información

Plantilla breve y realista que puedes adaptar (sustituye [Empresa] por el nombre de tu organización):

Política de Seguridad de la Información — [Empresa]

Objeto. [Empresa] considera la información un activo esencial para su negocio. Esta política establece el compromiso de la dirección con la protección de la información propia y la de sus clientes frente a cualquier amenaza, interna o externa, deliberada o accidental.

Alcance. Aplica a todo el personal, colaboradores y terceros que accedan a la información y a los sistemas de [Empresa], en el ámbito definido en el alcance del SGSI.

Principios. [Empresa] se compromete a preservar la confidencialidad (solo accede quien está autorizado), la integridad (la información es exacta y completa) y la disponibilidad (está accesible cuando se necesita) de la información.

Compromisos. La dirección se compromete a: cumplir los requisitos legales, reglamentarios y contractuales aplicables; gestionar los riesgos de seguridad de forma sistemática; formar y concienciar al personal; y mejorar de forma continua el sistema de gestión de seguridad de la información.

Responsabilidades. Todo el personal es responsable de cumplir esta política y de comunicar cualquier incidente de seguridad. El responsable de seguridad de la información vela por su aplicación y revisión.

Aprobación. Aprobada por la Dirección. Versión 1.0 · Fecha [dd/mm/aaaa]. Se revisará al menos una vez al año y cuando se produzcan cambios significativos.

Este texto cabe en una página, que es justo lo que debe ser: un documento breve, firmado por la dirección y del que cuelgan las políticas específicas (control de accesos, uso aceptable, copias de seguridad, etc.).

Errores frecuentes

Aprende a montar el SGSI completo: en el curso Gestor ISO 27001 + 27701 — De Cero a Implementador aprendes a redactar la política, evaluar riesgos y preparar la documentación que el auditor acepta. Y para el documento estrella del sistema, mira cómo hacer bien la Declaración de Aplicabilidad (SoA).