Política de Seguridad de la Información: Cómo Redactarla

La política de seguridad de la información es el documento fundacional del SGSI. La cláusula 5.2 de ISO 27001:2022 exige que la alta dirección establezca esta política, la apruebe formalmente y la comunique a toda la organización. Sin embargo, muchas empresas cometen el error de copiar plantillas genéricas que no reflejan su realidad y que los auditores detectan de inmediato.

¿Qué exige la cláusula 5.2?

La norma es precisa: la política de seguridad de la información debe:

Ser apropiada al propósito de la organización
Incluir objetivos de seguridad de la información o proporcionar el marco para establecerlos (cláusula 6.2)
Incluir el compromiso de cumplir los requisitos aplicables relacionados con la seguridad de la información
Incluir el compromiso de mejora continua del SGSI

Además, debe estar disponible como información documentada, comunicarse dentro de la organización y estar disponible para las partes interesadas cuando corresponda.

Estructura recomendada de la política

Sección	Contenido
1. Propósito y alcance	Por qué existe la política y a quién aplica
2. Compromisos de la dirección	Declaración explícita del respaldo de la alta dirección
3. Principios de seguridad	Confidencialidad, integridad, disponibilidad y valores guía
4. Marco de objetivos	Áreas prioritarias de seguridad para el período
5. Requisitos de cumplimiento	Obligaciones legales, regulatorias y contractuales
6. Roles y responsabilidades	Quién es responsable de qué en materia de seguridad
7. Consecuencias del incumplimiento	Marco disciplinario para violaciones
8. Revisión y actualización	Periodicidad de revisión y condiciones de actualización

Qué debe incluir y qué NO debe incluir

Incluir en la política general

La política de seguridad es un documento de alto nivel. Debe establecer la dirección estratégica y los compromisos. No debe incluir procedimientos técnicos detallados — esos van en políticas específicas como la política de uso aceptable, política de contraseñas o política de backup.

No incluir en la política

Instrucciones técnicas paso a paso
Configuraciones específicas de sistemas
Nombres de herramientas o proveedores concretos (hace la política obsoleta rápidamente)
Detalles que cambien frecuentemente

Longitud ideal: Entre 2 y 4 páginas. Una política más larga suele indicar que se están mezclando niveles de detalle. Una más corta puede no cumplir con todos los requisitos de la cláusula 5.2. Los auditores aprecian documentos concisos y claros.

Errores comunes al redactar la política

Error 1: Lenguaje técnico incomprensible

La política debe ser legible por toda la organización, no solo por el equipo de TI. Evita acronismos sin definir y términos técnicos innecesarios.

Error 2: Sin firma de la alta dirección

La cláusula 5.1 exige que la alta dirección demuestre liderazgo y compromiso. La política debe estar firmada por el CEO, Gerente General o equivalente, no solo por el CISO o el jefe de TI.

Error 3: Sin fecha de revisión

La política debe indicar cada cuánto tiempo se revisará. Lo habitual es anualmente o cuando ocurran cambios significativos en el contexto organizacional.

Error 4: Alcance mal definido

Si la política dice "aplica a toda la organización" pero el alcance del SGSI excluye ciertas unidades, hay una inconsistencia que el auditor señalará.

Error 5: Políticas copiadas sin adaptar

Los auditores experimentados reconocen rápidamente políticas genéricas. La política debe mencionar el nombre de la organización, su sector, sus activos críticos y sus obligaciones específicas.

Cómo comunicar la política efectivamente

La cláusula 7.4 exige que la organización determine qué comunicar, cuándo, a quién y cómo. Para la política de seguridad, esto implica:

Publicación interna: Intranet, portal del empleado o sistema de gestión documental
Incorporación al onboarding: Todo nuevo empleado debe leer y firmar que conoce la política
Difusión en capacitaciones: La política debe ser parte del programa de concientización
Revisión periódica: Recordatorio anual a todos los empleados cuando se actualice
Disponibilidad para partes interesadas: Clientes y socios pueden solicitar verla; prepara una versión para uso externo si es necesario

Relación con otras políticas del SGSI

La política de seguridad de la información es el documento de nivel superior de una jerarquía documental. Bajo ella se encuentran políticas específicas que detallan las reglas para áreas concretas:

Política de uso aceptable de activos (Control A.5.10)
Política de control de acceso (Controles A.5.15–A.5.18)
Política de criptografía (Control A.8.24)
Política de clasificación de la información (Controles A.5.12–A.5.13)
Política de gestión de incidentes (Controles A.5.24–A.5.28)

Buena práctica: Estructura la documentación del SGSI en tres niveles: Nivel 1 (Política general), Nivel 2 (Políticas específicas y procedimientos), Nivel 3 (Instrucciones de trabajo y registros). La política de seguridad es el único documento de Nivel 1.

Gestiona tu política de seguridad con GRC360

GRC360 incluye una biblioteca de plantillas de políticas adaptadas a ISO 27001:2022 en español, con control de versiones, flujo de aprobación y registro de comunicación a empleados.

Crear Cuenta Gratis

Completa tu sistema de políticas con la guía sobre política de uso aceptable, clasificación de la información y las cláusulas obligatorias de ISO 27001.